• 1. 概述
  • 1.1、集群信息
  • 1.2、故障现象
• 2. 故障分析
  • 2.1、查询控制节点服务状态
• 3. 故障处理
  • 3.1、查询etcd容器启动参数
  • 3.2、强制启动etcd
  • 3.3、重启kubelet
• 4. 复盘
  • 4.1、控制平面节点数量
  • 3.2、上述操作能避免吗？

1. 概述

这是一个不慎的操作导致的Kubenernets控制平面故障，正常情况下不应该存在偶数控制节点。出现这个情况的原因是，需要我需要更新Node1节点服务器版本，服务器有启动失败的的情况，为了稳妥起见另外启动一个控制节点（即Node2）。更新前已经备份好Etcd数据，崩溃数据恢复已经做好了准备（我以为的…）。

1.1、集群信息

1.2、故障现象

我按照正常卸载控制平面节点的操作步骤，一切顺利，当时并没有什么异常。

1
2
3
4

root@node1:~# kubectl drain node node2 --ignore-daemonsets --delete-emptydir-data
root@node1:~# kubectl delete node node2

root@node2:~# kubeadm reset --force

故障出现原因：双控制平面Kubernetes(这个状态本身就异常，但不在本次讨论范围内)删除Node2控制节点后，另外一个控制平面无法正常工作。具体表现为ETCD启动失败，导致Kubernetes api-server 启动失败。

1

Jul 22 23:17:05 node1 kubelet[3301]: E0722 23:17:05.135471    3301 controller.go:145] "Failed to ensure lease exists, will retry" err="Get \"https://172.17.1.120:6443/apis/coordination.k8s.io/v1/namespaces/kube-node-lease/leases/node1?timeout=10s\": dial tcp 172.17.1.120:6443: connect: connection refused" interval="7s"

Kubernetes 用户认证

1. 从Dashboard鉴权认识Kubernetes的用户认证
2. 从签发用户证书认识Kubernetes的用户认证

Kubernetes的API准入（Access Control）分为用户认证（Authenticating）、鉴权(Authorization)两个部分。鉴权是对权限的控制，来控制角色（Role）、用户(User)是否能访问对象，主要通过RBAC、ABAC实现，你大概率听说过这两种鉴权控制策略。当然鉴权不是本片讨论的重点，下面内容我们主要讨论认证部分。

目录

• 一、Traefik 安装配置
  • 1. NodePort？
  • 2.全站加速
  • 基本架构如下
• LoadBalaner 是怎么工作的
• 总结
• 参考

Traefik的代理服务器。 相较于Nginx，Traefik更加专注于流量整形，常被用作Kubernetes Ingress 是一个非常流程的云原生、API Gateway等角色。

目录

• 一、 OpenSSL 生成证书

• 二、 部署证书
• 三、 客户端安装CA证书

公司内部有个Kubernetes集群，镜像服务使用私有化部署的Harbor,突然一天发现域名没有续费… 接下来面临的问题就是TLS证书过期无法通过权威CA证书机构签发新证书，但如果更换域名CI/CD、K8s workload 都需要修改，修改量比较大。有没有简单处理方案呢，当然有，改由本地DNS解析域名，自己签发证书。下面的内容就是操作步骤，相对还算是简单的。

一、 OpenSSL 生成证书

1. 生成根证书