Kubelet - x509: сертификат действителен для 10.233.0.1, а не для <IP>
Я установил свой кластер kubernetes (два узла) с помощью kubespray. Теперь я добавил третий узел. И я получаю сообщение об ошибке от сервера kubelet на новом узле:
Не удалось перечислить *v1.Service: Получить https://94.130.25.248:6443/api/v1/services?limit=500&resourceVersion=0: x509: сертификат действителен для 10.233.0.1, 94.130.25.247, 94.130.25.247, 10.233.0.1, 127.0.0.1, 94.130.25.247, 144.76.14.131, а не 94.130.25.248
IP 94.130.25.248 - это ip нового узла.
Я нашел этот пост, где было написано о воссоздании apicert. Но новая версия kubeadm (v1.13.1) не имеет этой опции.
Также я пытаюсь обновить сертификаты командой:
kubeadm alpha certs renew all --config /etc/kubernetes/kubeadm-config.yaml
Эта команда восстанавливает сертификаты, но с теми же ips и dns.
Мой kubeadmin-config.yml (certSANs):
certSANs:
- kubernetes
- kubernetes.default
- kubernetes.default.svc
- kubernetes.default.svc.cluster.local
- 10.233.0.1
- localhost
- 127.0.0.1
- heku1
- heku4
- heku2
- 94.130.24.247
- 144.76.14.131
- 94.130.24.248
Может кто-нибудь сказать мне, как я могу добавить IP к Apicert?
1 ответ
Хм ... я удалил apiserver.* и apiserver-kubelet-client.* и воссоздал это командой:
kubeadm init phase certs apiserver --config=/etc/kubernetes/kubeadm-config.yaml
kubeadm init phase certs apiserver-kubelet-client --config=/etc/kubernetes/kubeadm-config.yaml
systemctl stop kubelet
delete the docker container with kubelet
systemctl restart kubelet