c++日志无法查看_Kubernetes 无法查看 pods 日志问题

最新推荐文章于 2022-06-27 18:55:58 发布
最新推荐文章于 2022-06-27 18:55:58 发布
阅读量151 收藏
点赞数
文章标签: c++日志无法查看
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35273106/article/details/113413659
版权

前言

最近使用二进制部署完 Kubernetes 1.18.2 版本,运行命令 kubectl logs -n kube-system calico-node-mbjnm 时,报下面错误。

606db5a86fb5d89cb5294a32cd869838.png

原因:我们知道 Kubernetes 认证过程分为:认证 --> 授权 --> 准入控制,上面报错就是因为没有通过认证而被拒绝。

认证被拒绝解决方法

错误的解决方法

通过谷歌搜索时,发现很多博客文章使用下面方法来解决上面报错。修改 kubelet.config 配置,添加下面配置,开启匿名访问。问题虽然可以解决,但危害整个集群安全。所以作者不推荐这样操作。

authentication:
  anonymous:
    enabled: true

正确的解决方法

fe3276930838a0d6899ce310ec77c3a6.png

从上图官方文档中我们能得出结论:

  • kube-apiserver 配置需要添加 --kubelet-client-certificate 和 --kubelet-client-key 参数,具体配置如下:

    b7d4a0497ca19ba03239db74ce24185a.png

  • kubelet 配置需要添加 --client-ca-file 参数,并且为了集群安全,需要禁用匿名访问 --anonymous-auth=false,具体配置如下:

    b16e6482c40b9ccbc98407c1bfbd45ae.png

修改完 kube-apiserver 和 kubelet 配置,并重启 kube-apiserver 和 kubelet 服务,再次运行 kubectl logs -n kube-system calico-node-mbjnm 命令查看 Pod 日志,发现又报错了。具体见下图:

6707bf1e87945857d91b05b8d64ef883.png

分析:从上图我们可以知道,Kubernetes 认证已经通过,但到授权时出现问题,因为没有查看 Pods 日志权限。

参考官方链接:https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet-authentication-authorization/

没有授权解决方法

错误的解决方法

将 system:anonymous 绑定到 cluster-admin 角色中并起一个 cluster-system:anonymous 名字。

$ kubectl create clusterrolebinding cluster-system:anonymous --clusterrole=cluster-admin --user=system:anonymous

clusterrolebinding.rbac.authorization.k8s.io/cluster-system:anonymous created

上面的解决方法,会严重危害集群安全,匿名访问拥有超级管理员权限,想想有多可怕。。。

正确的解决方法

注意:作者生成证书时使用 kubernetes 用户

ffba21d5ddd603290d2a19308ab8b0e5.png

解决思路:从报错可以知道,kubernetes 用户 没有查看 Pods 日志权限,我们可以给 kubernetes 用户 绑定一个权限。

Kubernetes 集群默认提供一个 system:kubelet-api-admin 权限。

d382ce31d3be8eb03a0e18d3bf340b2b.png

解决方法:把 kubernetes 用户 绑定到 system:kubelet-api-admin 权限。具体如下操作:

$ vim apiserver-to-kubelet-rbac.yml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: kubelet-api-admin
subjects:
- kind: User
  name: kubernetes
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: system:kubelet-api-admin
  apiGroup: rbac.authorization.k8s.io
$ kubectl apply -f apiserver-to-kubelet-rbac.yml

再次查看 Pod 日志,能正常输出日志了。

b87d721b1579c3b344cc4d116962e8a4.png

热门文章推荐

  • Gitlab CI/CD 部署应用到 K8S 演示
  • Calico 介绍、原理与使用
  • PromQL 常用命令
  • Docker 镜像分析之 dive
  • 容器化配置生成神器
  • Podman 会取代 Docker 吗?

最后

  • 欢迎您加我微信【ypxiaozhan01】,拉您进技术群,一起交流学习...
  • 欢迎您关注【YP小站】,学习互联网最流行的技术,做个专业的技术人...
34c45b246a0a556eee82f68269fa7f16.png
  【文章让您有收获,点个 在看 支持我吧】
职景
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes实战入门
ycf20001002的博客
05-19 699
apiserver集群统一入口,以restful方式,交给etcd存储scheduler节点调度,选择node节点应用部署处理集群中常规后台任务,一个资源对应一个控制器etcd存储系统,用于保存集群相关的数据Daemon Sets #守护进程集 Deployments #无状态副本集,部署无状态服务使用 Stateful Sets #有状态副本集,例如mysql,redis就用有状态 无论用哪个都是创建pod,pod之间可以互相访问,因为每一个pod都有一个ip。
sidecar 容器_kubernetes学习sidecar容器模式
weixin_26714375的博客
09-20 4906
sidecar 容器Kubernetes is an open-source container orchestration engine for automating deployment, scaling, and management of containerized applications. A pod is the basic building block of kubernetes ...
kubernetes解决pod中的日期与服务器不一致的情况——<08>
CEVERY的博客
10-16 850
方法一:配置环境变量(亲测有效) apiVersion: apps/v1 kind: Deployment metadata: name: my-test labels: app: my-test spec: selector: matchLabels: app: my-test replicas: 1 template: metadata: labels: app: my-test spec: cont
深入理解kubelet认证和授权
徒行沙漠
01-31 2350
参考官网说明文档:https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/ 在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: [root@master01 ssl]# kubectl logs nginx-deployment-6b474476c4-gdbdn Error from server: Get https://172.31.3.205:10250/
查看kubelet版本_Kubernetes 无法查看 pods 日志问题
weixin_39951112的博客
12-11 872
前言最近使用二进制部署完Kubernetes 1.18.2版本,运行命令kubectl logs -n kube-system calico-node-mbjnm时,报下面错误。原因:我们知道 Kubernetes 认证过程分为:认证-->授权-->准入控制,上面报错就是因为没有通过认证而被拒绝。认证被拒绝解决方法错误的解决方法通过谷歌搜索时,发现很多博客文章...
K8s 之 ApiServer 组件风险
weixin_40418457的博客
06-27 830
文章首发于火线Zone社区:https://zone.huoxian.cn/d/1269-k8sapiserver apiserver简介 API Server 作为 K8s 集群的管理入口,在集群中被用于提供API来控制集群内部。默认情况下使用 8080 (insecure-port,非安全端口)和 6443 (secure-port,安全端口)端口,其中 8080 端口无需认证,6443端口需要认证且有 TLS 保护。 apiserver工作原理图: 而apiserver在渗透测试过程中受到以下风险:
Kubernetes 无法查看 pods 日志问题
qq_24794401的博客
05-14 3116
前言最近使用二进制部署完Kubernetes 1.18.2版本,运行命令kubectl logs -n kube-system calico-node-mbjnm时,报下面错误。...
Kubernetes工作坊_kubernetes实践_Kubernetes_
10-01
工作坊还讨论了Kubernetes中的监控和日志收集,包括如何集成Prometheus和Grafana进行指标监控,以及如何使用Elasticsearch和Kibana进行日志分析。这些工具对于理解应用性能和排查问题至关重要。 总之,Kubernetes...
Arhiteture_f_Kubernetes.pdf
03-21
**Kubernetes架构与核心概念详解** Kubernetes,源自希腊语“Helmsman”,意为舵手,也是“Governor”的词根,是一个强大的容器编排系统。它源于Google超过十年的容器管理经验,并且现在是开源的,允许在多种云环境...
Cheat_sheet_Kubernetes
04-04
【标题】"Cheat_sheet_Kubernetes" 是一个关于 Kubernetes 的速查指南,旨在帮助用户快速理解和操作这个流行的容器编排系统。Kubernetes,通常简称为 K8s,是由 Google 设计并开源的一个自动化容器管理系统,它能...
Kubernetes-Up-and-Running.zip_Kubernetes
09-24
《Kubernetes Up and Running》是深入理解并实践Kubernetes这一开源集群管理系统的宝贵资源。Kubernetes,简称K8s,由谷歌设计并贡献给社区,是目前最流行的容器编排系统,它允许开发者和运维人员高效地管理和部署...
JavaScript_Kubernetes in Action手册中的代码.zip
05-20
通过解压并探索这个文件,读者可以找到与书中内容对应的实战代码,这些代码用JavaScript实现了与Kubernetes API的交互,例如创建、更新和删除Pods、Services、Deployments等Kubernetes资源。 学习这个压缩包的内容...
k8s查看java容器日志_kubesphere项目中的容器日志里面不能显示日志内容,而通过kubectl logs可以正常查看日志...
weixin_29813635的博客
02-26 2369
kubectl logs -n kubesphere-logging-system elasticsearch-logging-data-0[2019-10-22T08:05:49,346][INFO ][o.e.p.PluginsService ] [elasticsearch-logging-data-0] no plugins loaded[2019-10-22T08:05:51,7...
kubernetes集群使用kubectl logs 无法查看node节点pod日志问题
热门推荐
zcc_heu的博客
12-16 3万+
kubernetes集群使用kubectl logs 无法查看node节点上pod日志问题最近在学习安装使用kubernetes集群,先把集群安装中遇到的一些困难记录下来方便以后查看,避免下次再次遇到相同的问题又得重新查找。使用了三台服务安装kubernetes集群,其中一台腾讯云服务器,二台阿里云服务器# 111.230.133.xxx master 服务器主节点 # 120.230.12.x
k8s集群角色绑定用户
a1308422754的博客
02-16 1253
k8s集群角色绑定用户 把系统的匿名用户 绑定到cluster-admin上 kubectl clusterrolebinding system:anonymous --clusterrole=cluster-admin --user=system:anonymous
阿里云k8s应用最新日志采集不到的问题
weixin_30438813的博客
03-13 392
问题描述: 阿里云k8s应用日志之前一直都是可以正常的采集, 先出现一问题, 通过kibana 和阿里云的日志服务都没法展示最新的k8s应用的日志, 部分应用的最新日志有被采集到,但大部分应用日志没有做采集到。 通过 命令 curl '17*****0:9200/_cat/indices?v' 查看 部分应用没有建立今天的日志索引    删除了elasti...
kubernetes中的RBAC
阿仆的专栏
04-12 4040
kubernetes中的RBACkubernetes1.6版本中最引入注意的是RBAC授权机制进行了 Beta阶段,RBAC(基于角色的权限访问控制)是控制访问kubernetes资源的权限.RBAC允许灵活的配置授权策略,而不需要重启集群. 本文重点描述RBAC机制带来的能力以及最佳实践.RBAC对比ABAC在Kubernetes中当前存在很多授权的机制可以使用,授权是一种机制来决定了谁来权限来通
kubernetes解决pod中的日期与本地服务器不一致的情况
江晓龙的博客
01-07 1216
1.通过配置环境变量的方式解决 通过env方式的环境变量实现 env: - name: TZ value: Asia/Shanghai yaml实例 apiVersion: apps/v1 kind: Deployment metadata: name: nginx labels: app: nginx spec: selector: matchLabels: app: nginx replicas: 1 template: metadata:
关于Go语言0基础小白篇最常见的面试题整理!!!.html
最新发布
07-10
一个专为Go语言初学者和新手求职者准备的实用资源,它精心挑选了一系列面试中经常出现的Go语言问题,并提供了详尽的答案解析。这份资源从Go语言的基础知识出发,逐步深入到高级特性和最佳实践,旨在帮助读者快速掌握Go语言的核心概念和应用技巧。无论是对Go语言完全陌生的新手,还是有一定基础但希望巩固和提升的开发者,这份资源都是一个宝贵的学习工具。 一个专为Go语言初学者和新手求职者准备的实用资源,它精心挑选了一系列面试中经常出现的Go语言问题,并提供了详尽的答案解析。这份资源从Go语言的基础知识出发,逐步深入到高级特性和最佳实践,旨在帮助读者快速掌握Go语言的核心概念和应用技巧。无论是对Go语言完全陌生的新手,还是有一定基础但希望巩固和提升的开发者,这份资源都是一个宝贵的学习工具。 一个专为Go语言初学者和新手求职者准备的实用资源,它精心挑选了一系列面试中经常出现的Go语言问题,并提供了详尽的答案解析。这份资源从Go语言的基础知识出发,逐步深入到高级特性和最佳实践,旨在帮助读者快速掌握Go语言的核心概念和应用技巧。无论是对Go语言完全陌生的新手,还是有一定基础但希望巩固和提升的开发者,这份资源
kubernetes pods Terminating
12-12
当您删除Kubernetes中的Pod时,它将进入Terminating状态。在此状态下,Pod将不再接受任何流量,并且Kubernetes将等待Pod中的所有容器完成其工作并退出。如果Pod中的容器无法正常退出,则Pod将一直保持在Terminating...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值