kubernetes新建rc成功却没创建pod

背景

通过yaml文件创建rc返回成功,但是pod却没有创建,查询时一直返回No resources found,

[root@CentOS-7-4 /home/k8s]# kubectl create -f redis-master-controller.yaml 
replicationcontroller "redis-master" created
[root@CentOS-7-4 /home/k8s]# kubectl get rc
NAME           DESIRED   CURRENT   READY     AGE
redis-master   1         0         0         5s
[root@CentOS-7-4 /home/k8s]# kubectl get pod
No resources found.

解决方案

1、关闭ServiceAccount

具体为删除/etc/kubernetes/apiserver配置中,KUBE_ADMISSION_CONTROL 中的ServiceAccount字段,

KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota"

然后重启kube-apiserver服务,

systemctl restart kube-apiserver

然后删除之前创建的rc,重新创建即可。

这是网上绝大多数人给的解决方案,但是都没有解释为什么。

要想知道为什么这样做,那就得先了解一下ServiceAccount是啥。

Service account是为了方便Pod里面的进程调用kubernetes API或其他外部服务而设计的。可以理解为pod中的进程调用kubernetes API需要认证,就如用户使用kubectl调用kubernetes API需要认证一样。

如果kubernetes开启了ServiceAccount(–admission_control=…,ServiceAccount,… ),那么会在每个namespace下面都会创建一个默认的default的sa。

[root@CentOS-7-4 /home/k8s]# kubectl get sa --all-namespaces
NAMESPACE     NAME      SECRETS   AGE
default       default   0         34m
kube-system   default   0         34m

我们都只知道,要验证,肯定需要个密钥,也就是这个secrets。从上面查看的情况,系统上并没有这个文件。这本应该是由kubernetes自动创建,但是由于未知原因却没有创建。所以关闭ServiceAccount就无需用到这secrets,就不会报错。

另一方面,除了上述关闭ServiceAccount的方案,我们还可以通过完成认证来解决问题。

2、完成认证

完成认证在于要生成secrets,可通过如下步骤操作,

1、生成签名密钥:
openssl genrsa -out /tmp/serviceaccount.key 2048

2、更新/etc/kubernetes/apiserver,增加如下配置:
KUBE_API_ARGS="--service_account_key_file=/tmp/serviceaccount.key"

3、更新/etc/kubernetes/controller-manager,增加如下配置:
KUBE_CONTROLLER_MANAGER_ARGS="--service_account_private_key_file=/tmp/serviceaccount.key"

然后重启kube-controller-manager和kube-apiserver服务,

systemctl restart kube-controller-manager kube-apiserver

此时,如果没有其他错误,无需删除之前创建的rc,pod稍后即可查询到已创建。

  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值