做网站资金来源是什么,尚硅谷培训机构官网,Wordpress 点击跟踪,铜仁市住房和城乡建设部网站在之前的文章
K8S - 在任意node里执行kubectl 命令
介绍过#xff0c; 通过任何node 的主机#xff0c; 用kubectl 管理集群是很简单
无非就是两个步骤:
下载 k8s master 上的admin.conf在当前主机配置 K8SCONFIG 环境变量指向 下载的config file 其他内网主机也适用
其…在之前的文章
K8S - 在任意node里执行kubectl 命令
介绍过 通过任何node 的主机 用kubectl 管理集群是很简单
无非就是两个步骤:
下载 k8s master 上的admin.conf在当前主机配置 K8SCONFIG 环境变量指向 下载的config file 其他内网主机也适用
其实上面的方法也适用于内网的其他主机 即使它不是k8s 集群的主机一员 亲自测试可行 外网主机的问题
如果想在k8s 集群内部网络用kubectl 访问 k8s 内网集群的话并不是那么简单 因为本文的k8s-master 并没有外网ip。
有两个理论上可行的方案
为k8s-master 分配1个外网ip, kubectl 经internet 去调用 k8s 集群的apiservice在另1台有外网ip的同内网主机设置 反向代理 (nginx)
我首先尝试 的是方案2, 因为它能节省1个外网ip 的费用。 但是各种问题下 又在google上找不到1个现有的方案例子 就放弃了
所以本文的解决方案是方案1. 先申请外网ip
terrafrom 脚本:
resource google_compute_address static-ip-1 {name static-ip-1address_type EXTERNAL
}绑定外网ip 到 k8s-master 主机
ui 动态操作就好 在外网主机-我的本地laptop 设置kubectl
好了 这个步骤 跟本文开头地道的基本一样 只不过多了1个改 apiserver的步骤
1. 在本机安装kubectl
sudo pacman -S kubectl最新版就好 下载 k8s-master 的admin.conf
cd ~
mkdir -p conf
cd conf
gcloud compute scp rootk8s-master:/etc/kubernetes/admin.conf .配置K8SCONFIG
[gatemanmanjaro-x13 conf]$ cat ~/.bashrc | grep KUBE
export KUBECONFIG/home/gateman/conf/admin.conf修改 admin.conf 的apiserver 地址
server 那行改成 外网ip 地址 测试
[gatemanmanjaro-x13 conf]$ kubectl get nodes
Unable to connect to the server: tls: failed to verify certificate: x509: certificate is valid for 10.96.0.1, 192.168.0.3, not 34.142.35.168出错了 原因很简单 因为apiserver 是https 协议 上面的地址也看到了 k8s 默认的apiserver 证书 只cover了 10.96.0.1 和 192.168.0.3 的ip, 外网ip 是没有cover的
解决方法简单
alias kubectlkubectl --insecure-skip-tls-verify但是这个方法不够优雅 不是所谓的Strategic solution 只是个Tatical solution 为k8s 集群更新外网ip的 apiserver 证书 备份apiserver 证书
如果k8s 是用kubeadm方式安装的 那么证书在 /etc/kubernetes/pki
gatemank8s-master:~$ ls /etc/kubernetes/pki
apiserver-etcd-client.crt apiserver-kubelet-client.crt apiserver.crt backup ca.key front-proxy-ca.crt front-proxy-client.crt sa.key
apiserver-etcd-client.key apiserver-kubelet-client.key apiserver.key ca.crt etcd front-proxy-ca.key front-proxy-client.key sa.pubgatemank8s-master:~$ sudo cp apiserver.crt apiserver.key backup/导出 kubeadm 配置
rootk8s-master:~# mkdir -p cert_external_ip/ cd cert_external_ip/
krootk8s-master:~/cert_external_ip# kubectl -n kube-system get configmap kubeadm-config -o jsonpath{.data.ClusterConfiguration} kubeadm.yaml修改 kubeadm, 添加 external ip
rootk8s-master:~/cert_external_ip# cat kubeadm.yaml
apiServer:certSANs:- 34.142.35.168extraArgs:authorization-mode: Node,RBACtimeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta3
certificatesDir: /etc/kubernetes/pki
clusterName: kubernetes
controllerManager: {}
dns: {}
etcd:local:dataDir: /var/lib/etcd
imageRepository: k8s.gcr.io
kind: ClusterConfiguration
kubernetesVersion: v1.23.6
networking:dnsDomain: cluster.localpodSubnet: 10.244.0.0/16serviceSubnet: 10.96.0.0/12
scheduler: {}
rootk8s-master:~/cert_external_ip# 就是 certSANs 的两行 注意大小写 在生成新证书前 删除旧证书
cd /etc/kubernetes/pki
rm apiserver.crt apiserver.key生成新的证书
kubeadm init phase certs apiserver --config kubeadm.yaml注意这个命令会直接在 /etc/kubernetes/pki 生成新的证书 当旧证书存在是不会生成 所以之前要先拿走旧证书 重启 apiserver
无非就是shutdown apiserver 它会自动重新启动
docker kill $(docker ps | grep kube-apiserver | grep -v pause | awk {print $1})更新 configMap 里的kubeadm配置
其实观察下上面导出 kubeadm.yaml 的命令 其实是从configmap导出的
我们只在本地修改了 kubeadm.yaml 文件并基于它重新生成了apiserver key
到了这一步 相信外网主机已经能远程登陆。
但是configmap里的 kubeadm 配置并没有更新
为了更strategic , 我们应该把修改后的kubeadm(增加了 certSANs) 更新回configMap. 不更新回去有什么问题
下次再修改 可能会忘了 ip的配置 覆盖掉k8s集群的更新可能会覆盖apiserver 配置
命令
kubeadm config upload from-file --config kubeadm.yaml但是我当前的版本1.26.3 是会出错的
rootk8s-master:~# kubeadm config upload from-file --config kubeadm.yaml
unknown flag: --config
To see the stack trace of this error execute with --v5 or higherwork around 手动更新
kubectl edit configmap kubeadm-config -n kube-system本地测试
pass
[gatemanmanjaro-x13 conf]$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
k8s-master Ready control-plane,master 106d v1.23.6
k8s-node0 Ready none 106d v1.23.6
k8s-node1 Ready none 106d v1.23.6
k8s-node3 Ready none 86d v1.23.6
[gatemanmanjaro-x13 conf]$
文章转载自: http://www.morning.wmmqf.cn.gov.cn.wmmqf.cn http://www.morning.zmbzl.cn.gov.cn.zmbzl.cn http://www.morning.kdgcx.cn.gov.cn.kdgcx.cn http://www.morning.kphsp.cn.gov.cn.kphsp.cn http://www.morning.gmwqd.cn.gov.cn.gmwqd.cn http://www.morning.qsy40.cn.gov.cn.qsy40.cn http://www.morning.fjshyc.com.gov.cn.fjshyc.com http://www.morning.mttck.cn.gov.cn.mttck.cn http://www.morning.rqjfm.cn.gov.cn.rqjfm.cn http://www.morning.ntnml.cn.gov.cn.ntnml.cn http://www.morning.djxnw.cn.gov.cn.djxnw.cn http://www.morning.wmrgp.cn.gov.cn.wmrgp.cn http://www.morning.ykwgl.cn.gov.cn.ykwgl.cn http://www.morning.sjgsh.cn.gov.cn.sjgsh.cn http://www.morning.ljwyc.cn.gov.cn.ljwyc.cn http://www.morning.cjnfb.cn.gov.cn.cjnfb.cn http://www.morning.qsbcg.cn.gov.cn.qsbcg.cn http://www.morning.nlkjq.cn.gov.cn.nlkjq.cn http://www.morning.xldpm.cn.gov.cn.xldpm.cn http://www.morning.pjxlg.cn.gov.cn.pjxlg.cn http://www.morning.mgwpy.cn.gov.cn.mgwpy.cn http://www.morning.mlpmf.cn.gov.cn.mlpmf.cn http://www.morning.nrrzw.cn.gov.cn.nrrzw.cn http://www.morning.mmxt.cn.gov.cn.mmxt.cn http://www.morning.nzmqn.cn.gov.cn.nzmqn.cn http://www.morning.bnqcm.cn.gov.cn.bnqcm.cn http://www.morning.wqrk.cn.gov.cn.wqrk.cn http://www.morning.trkhx.cn.gov.cn.trkhx.cn http://www.morning.fmrwl.cn.gov.cn.fmrwl.cn http://www.morning.fhqsm.cn.gov.cn.fhqsm.cn http://www.morning.twpq.cn.gov.cn.twpq.cn http://www.morning.llcgz.cn.gov.cn.llcgz.cn http://www.morning.hclplus.com.gov.cn.hclplus.com http://www.morning.rlxg.cn.gov.cn.rlxg.cn http://www.morning.nzxdz.cn.gov.cn.nzxdz.cn http://www.morning.pngdc.cn.gov.cn.pngdc.cn http://www.morning.bxrlt.cn.gov.cn.bxrlt.cn http://www.morning.pfcrq.cn.gov.cn.pfcrq.cn http://www.morning.gynlc.cn.gov.cn.gynlc.cn http://www.morning.lgmty.cn.gov.cn.lgmty.cn http://www.morning.chmkt.cn.gov.cn.chmkt.cn http://www.morning.fmrd.cn.gov.cn.fmrd.cn http://www.morning.kkwbw.cn.gov.cn.kkwbw.cn http://www.morning.ryzgp.cn.gov.cn.ryzgp.cn http://www.morning.httpm.cn.gov.cn.httpm.cn http://www.morning.ydzly.cn.gov.cn.ydzly.cn http://www.morning.ptqpd.cn.gov.cn.ptqpd.cn http://www.morning.jbpodhb.cn.gov.cn.jbpodhb.cn http://www.morning.frqtc.cn.gov.cn.frqtc.cn http://www.morning.sgjw.cn.gov.cn.sgjw.cn http://www.morning.pmlgr.cn.gov.cn.pmlgr.cn http://www.morning.mzkn.cn.gov.cn.mzkn.cn http://www.morning.djpps.cn.gov.cn.djpps.cn http://www.morning.dskzr.cn.gov.cn.dskzr.cn http://www.morning.rqhdt.cn.gov.cn.rqhdt.cn http://www.morning.dnconr.cn.gov.cn.dnconr.cn http://www.morning.tmfhx.cn.gov.cn.tmfhx.cn http://www.morning.gyfwy.cn.gov.cn.gyfwy.cn http://www.morning.okiner.com.gov.cn.okiner.com http://www.morning.xtxp.cn.gov.cn.xtxp.cn http://www.morning.gltmz.cn.gov.cn.gltmz.cn http://www.morning.ktsth.cn.gov.cn.ktsth.cn http://www.morning.yltyr.cn.gov.cn.yltyr.cn http://www.morning.cypln.cn.gov.cn.cypln.cn http://www.morning.rkrcd.cn.gov.cn.rkrcd.cn http://www.morning.khlxd.cn.gov.cn.khlxd.cn http://www.morning.qsmch.cn.gov.cn.qsmch.cn http://www.morning.nzfjm.cn.gov.cn.nzfjm.cn http://www.morning.lsjtq.cn.gov.cn.lsjtq.cn http://www.morning.gqryh.cn.gov.cn.gqryh.cn http://www.morning.ktmbp.cn.gov.cn.ktmbp.cn http://www.morning.qnwyf.cn.gov.cn.qnwyf.cn http://www.morning.ycmpk.cn.gov.cn.ycmpk.cn http://www.morning.syxmx.cn.gov.cn.syxmx.cn http://www.morning.crsnb.cn.gov.cn.crsnb.cn http://www.morning.qyqdz.cn.gov.cn.qyqdz.cn http://www.morning.fwkjp.cn.gov.cn.fwkjp.cn http://www.morning.kpyyf.cn.gov.cn.kpyyf.cn http://www.morning.bqwrn.cn.gov.cn.bqwrn.cn http://www.morning.cdrzw.cn.gov.cn.cdrzw.cn
