kubernetes二進位制部署k8s-master叢集controller-manager服務unhealthy問題

阿新 • • 發佈：2018-12-29

一.問題現象

我們使用二進位制部署k8s的高可用叢集時，在部署多master時，kube-controller-manager服務提示Unhealthy

[[email protected] system]# kubectl get cs
NAME                 STATUS      MESSAGE                                                                                                                                  ERROR
scheduler            Healthy     ok                                                                                                                                       
controller-manager   Unhealthy   Get http://127.0.0.1:10252/healthz: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02"   
etcd-1               Healthy     {"health":"true"}                                                                                                                        
etcd-0               Healthy     {"health":"true"}                                                                                                                        
etcd-2               Healthy     {"health":"true"}

這裡我們檢視得知kube-controller-manager的服務執行時提示有一些日誌報錯問題：

[[email protected] system]# systemctl status kube-controller-manager -l
● kube-controller-manager.service - Kubernetes Controller Manager
   Loaded: loaded (/etc/systemd/system/kube-controller-manager.service; enabled; vendor preset: disabled)
   Active: active (running) since Sat 2018-12-29 03:56:00 EST; 31min ago
     Docs: https://github.com/GoogleCloudPlatform/kubernetes
 Main PID: 126295 (kube-controller)
    Tasks: 8
   Memory: 8.4M
   CGroup: /system.slice/kube-controller-manager.service
           └─126295 /usr/local/bin/kube-controller-manager --port=0 --secure-port=10252 --bind-address=127.0.0.1 --kubeconfig=/etc/kubernetes/cert/kube-controller-manager.kubeconfig --authentication-kubeconfig=/etc/kubernetes/cert/kube-controller-manager.kubeconfig --service-cluster-ip-range=10.254.0.0/16 --cluster-name=kubernetes --cluster-signing-cert-file=/etc/kubernetes/cert/ca.pem --cluster-signing-key-file=/etc/kubernetes/cert/ca-key.pem --experimental-cluster-signing-duration=8760h --root-ca-file=/etc/kubernetes/cert/ca.pem --service-account-private-key-file=/etc/kubernetes/cert/ca-key.pem --leader-elect=true --feature-gates=RotateKubeletServerCertificate=true --controllers=*,bootstrapsigner,tokencleaner --horizontal-pod-autoscaler-use-rest-clients=true --horizontal-pod-autoscaler-sync-period=10s --tls-cert-file=/etc/kubernetes/cert/kube-controller-manager.pem --tls-private-key-file=/etc/kubernetes/cert/kube-controller-manager-key.pem --use-service-account-credentials=true --alsologtostderr=true --logtostderr=false --log-dir=/var/log/kubernetes --v=2

Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: I1229 03:56:00.395082  126295 flags.go:33] FLAG: --version="false"
Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: I1229 03:56:00.395093  126295 flags.go:33] FLAG: --vmodule=""
Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: W1229 03:56:00.819583  126295 authentication.go:296] Cluster doesn't provide requestheader-client-ca-file in configmap/extension-apiserver-authentication in kube-system, so request-header client certificate authentication won't work.
Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: W1229 03:56:00.820210  126295 authorization.go:146] No authorization-kubeconfig provided, so SubjectAccessReview of authorization tokens won't work.
Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: I1229 03:56:00.820252  126295 controllermanager.go:151] Version: v1.13.1
Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: I1229 03:56:00.822080  126295 secure_serving.go:116] Serving securely on 127.0.0.1:10252
Dec 29 03:56:00 ceph-01 kube-controller-manager[126295]: I1229 03:56:00.822954  126295 leaderelection.go:205] attempting to acquire leader lease  kube-system/kube-controller-manager...
Dec 29 03:57:44 ceph-01 kube-controller-manager[126295]: I1229 03:57:44.753997  126295 log.go:172] http: TLS handshake error from 127.0.0.1:40918: tls: first record does not look like a TLS handshake
Dec 29 03:57:46 ceph-01 kube-controller-manager[126295]: I1229 03:57:46.558093  126295 log.go:172] http: TLS handshake error from 127.0.0.1:40948: tls: first record does not look like a TLS handshake
Dec 29 04:08:35 ceph-01 kube-controller-manager[126295]: I1229 04:08:35.872211  126295 log.go:172] http: TLS handshake error from 127.0.0.1:43564: tls: first record does not look like a TLS handshake

二.問題解決

這裡我們推測是kube-controller-manager服務的Service檔案的配置問題：

[[email protected] system]# cat kube-controller-manager.service 
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/GoogleCloudPlatform/kubernetes

[Service]
ExecStart=/usr/local/bin/kube-controller-manager \
  --port=0 \
  --secure-port=10252 \
  --bind-address=127.0.0.1 \
  --kubeconfig=/etc/kubernetes/cert/kube-controller-manager.kubeconfig \
  --authentication-kubeconfig=/etc/kubernetes/cert/kube-controller-manager.kubeconfig \
  --service-cluster-ip-range=10.254.0.0/16 \
  --cluster-name=kubernetes \
  --cluster-signing-cert-file=/etc/kubernetes/cert/ca.pem \
  --cluster-signing-key-file=/etc/kubernetes/cert/ca-key.pem \
  --experimental-cluster-signing-duration=8760h \
  --root-ca-file=/etc/kubernetes/cert/ca.pem \
  --service-account-private-key-file=/etc/kubernetes/cert/ca-key.pem \
  --leader-elect=true \
  --feature-gates=RotateKubeletServerCertificate=true \
  --controllers=*,bootstrapsigner,tokencleaner \
  --horizontal-pod-autoscaler-use-rest-clients=true \
  --horizontal-pod-autoscaler-sync-period=10s \
  --tls-cert-file=/etc/kubernetes/cert/kube-controller-manager.pem \
  --tls-private-key-file=/etc/kubernetes/cert/kube-controller-manager-key.pem \
  --use-service-account-credentials=true \
  --alsologtostderr=true \
  --logtostderr=false \
  --log-dir=/var/log/kubernetes \
  --v=2
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target

我們在service檔案中加了--port=0和--secure-port=10252和--bind-address=127.0.0.1
這三行配置的功能是:

--port=0：關閉監聽 http /metrics 的請求，同時 --address 引數無效，--bind-address 引數有效
--secure-port=10252、--bind-address=0.0.0.0: 在所有網路介面監聽 10252 埠的 https /metrics 請求

這裡我們去掉這三行配置：

[[email protected] system]# cat kube-controller-manager.service 
[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/GoogleCloudPlatform/kubernetes

[Service]
ExecStart=/usr/local/bin/kube-controller-manager \
  --kubeconfig=/etc/kubernetes/cert/kube-controller-manager.kubeconfig \
  --authentication-kubeconfig=/etc/kubernetes/cert/kube-controller-manager.kubeconfig \
  --service-cluster-ip-range=10.254.0.0/16 \
  --cluster-name=kubernetes \
  --cluster-signing-cert-file=/etc/kubernetes/cert/ca.pem \
  --cluster-signing-key-file=/etc/kubernetes/cert/ca-key.pem \
  --experimental-cluster-signing-duration=8760h \
  --root-ca-file=/etc/kubernetes/cert/ca.pem \
  --service-account-private-key-file=/etc/kubernetes/cert/ca-key.pem \
  --leader-elect=true \
  --feature-gates=RotateKubeletServerCertificate=true \
  --controllers=*,bootstrapsigner,tokencleaner \
  --horizontal-pod-autoscaler-use-rest-clients=true \
  --horizontal-pod-autoscaler-sync-period=10s \
  --tls-cert-file=/etc/kubernetes/cert/kube-controller-manager.pem \
  --tls-private-key-file=/etc/kubernetes/cert/kube-controller-manager-key.pem \
  --use-service-account-credentials=true \
  --alsologtostderr=true \
  --logtostderr=false \
  --log-dir=/var/log/kubernetes \
  --v=2
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target

重啟相關服務：

[[email protected] system]# systemctl daemon-reload
[[email protected] system]# systemctl restart kube-controller-manager

三.檢視叢集服務是否正常

[[email protected] system]# kubectl get cs
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok                  
scheduler            Healthy   ok                  
etcd-0               Healthy   {"health":"true"}   
etcd-1               Healthy   {"health":"true"}   
etcd-2               Healthy   {"health":"true"}

kubernetes二進位制部署k8s-master叢集controller-manager服務unhealthy問題

一.問題現象我們使用二進位制部署k8s的高可用叢集時，在部署多master時，kube-controller-manager服務提示Unhealthy [[email protected] system]# kubectl get cs NAME STATUS

kubernetes二進位制部署k8s-master叢集

　　一.問題現象　　　　我們使用二進位制部署k8s的高可用叢集時，在部署多master時，kube-controller-manager服務提示Unhealthy 　　　　[[email protected] system]# kubectl get cs 　　　　NAME &nb

K8S入門系列之叢集二進位制部署--> master篇(二)

元件版本和配置策略元件版本 Kubernetes 1.16.2 Docker 19.03-ce Etcd 3.3.17 https://github.com/etcd-io/etcd/releases/ Flanneld 0.11.0 https://github.com/coreos/flannel/r

010.Kubernetes二進位制部署kube-controller-manager

一部署高可用kube-controller-manager 1.1 高可用kube-controller-manager介紹本實驗部署一個三例項 kube-controller-manager 的叢集，啟動後將通過競爭選舉機制產生一個 leader 節點，其它節點為阻塞狀態。當 leader 節點不可用時

k8s---apiserver，controller-manager,scheduler部署

std str cor app 可用 eof cd-k enc gin #證書自簽名腳本 root@k8s-master: ~/k8s/k8s-cert 14:06:06 $ cat k8s-cert.sh cat > ca-config.json <

部署高可用 kube-controller-manager 集群

處理 nag k8s lin ica 可用情況下 log all 本文檔介紹部署高可用 kube-controller-manager 集群的步驟。該集群包含 3 個節點，啟動後將通過競爭選舉機制產生一個 leader 節點，其它節點為阻塞狀態。當 leader 節點

003.Kubernetes二進位制部署準備

一前置準備1.1 前置條件相應的充足資源的Linux伺服器；設定相應的主機名，參考命令： 1 hostnamectl set-hostname k8smaster Mac及UUID唯一；若未關閉防火牆則建議放通相應埠，如下：Master節點——

006.Kubernetes二進位制部署ETCD

一部署ETCD叢集 1.1 安裝ETCD etcd 是基於 Raft 的分散式 key-value 儲存系統，由 CoreOS 開發，常用於服務發現、共享配置以及併發控制（如 leader 選舉、分散式鎖等）。kubernetes 使用 etcd 儲存所有執行資料。 1 etcd 是基於 Raft 的分

007.Kubernetes二進位制部署Flannel

一部署flannel 1.1 安裝flannel kubernetes 要求叢集內各節點(包括 master 節點)能通過 Pod 網段互聯互通。flannel 使用 vxlan 技術為各節點建立一個可以互通的 Pod 網路，使用的埠為 UDP 8472。 flanneld 第一次啟動時，從 etcd 獲

008.Kubernetes二進位制部署Nginx實現高可用

一 Nginx代理實現kube-apiserver高可用 1.1 Nginx實現高可用基於 nginx 代理的 kube-apiserver 高可用方案。控制節點的 kube-controller-manager、kube-scheduler 是多例項部署，所以只要有一個例項正常，就可以保證高可用；叢集

009.Kubernetes二進位制部署kube-apiserver

一部署master節點 1.1 master節點服務 kubernetes master 節點執行如下元件： kube-apiserver kube-scheduler kube-controller-manager kube-nginx kube-apiserver、kube-scheduler 和

014.Kubernetes二進位制部署docker

一部署docker1.1 部署docker元件docker 執行和管理容器，kubelet 通過 Container Runtime Interface (CRI) 與它進行互動。1.2 下載docker 1 [root@k8smaster01 ~]# cd /opt/k8s/work 2 [root

015.Kubernetes二進位制部署所有節點kubelet

一部署 kubelet kubelet 執行在每個 worker 節點上，接收 kube-apiserver 傳送的請求，管理 Pod 容器，執行互動式命令，如 exec、run、logs 等。 kubelet 啟動時自動向 kube-apiserver 註冊節點資訊，內建的 cadvisor 統計和監控節

016.Kubernetes二進位制部署所有節點kube-proxy

一部署 kube-proxy kube-proxy 執行在所有節點上，它監聽 apiserver 中 service 和 endpoint 的變化情況，建立路由規則以提供服務 IP 和負載均衡功能。 1.1 安裝kube-proxy 提示：k8smaster01節點已下載相應二進位制，可直接分發至node節

019.Kubernetes二進位制部署外掛dashboard

一修改配置檔案 1.1 下載解壓 1 [root@k8smaster01 ~]# cd /opt/k8s/work/kubernetes/ 2 [root@k8smaster01 kubernetes]# tar -xzvf kubernetes-src.tar.gz 提示：k8smaster01節

【原】二進位制部署 k8s 1.18.3

# 二進位制部署 k8s 1.18.3 插播一條：ansible 一鍵部署：https://github.com/liyongjian5179/k8s-ansible ## 1、相關前置資訊 ### 1.1 版本資訊 kube_version: v1.18.3 etcd_version: v3.4.

二進位制搭建kubernetes多master叢集【四、配置k8s node】

上一篇我們部署了kubernetes的master叢集，參考：二進位制搭建kubernetes多master叢集【三、配置k8s master及高可用】本文在以下主機上操作部署k8s node k8s-node1：192.168.80.10 k8s-node2：192.168.80.11 k8s-n

使用kubeadm部署k8s集群06-擴容kube-controller-manager到3節點

sed account 同步 config 修改配置 ont etc Language serve 使用kubeadm部署k8s集群06-擴容kube-controller-manager到3節點 2018/1/3 擴容 kube-controller-manager 到

【kubernetes/k8s原始碼分析】 controller-manager之replicaset原始碼分析

ReplicaSet簡介 Kubernetes 中建議使用 ReplicaSet來取代 ReplicationController。ReplicaSet 跟 ReplicationController 沒有本質的不同， ReplicaSet 支援集合式的

CentOS7.5 Kubernetes V1.13（最新版）二進位制部署叢集

一、概述 Kubernetes 1.13 正式GA，這是2018年釋出的第四次也是最後一次大版本，1.13也是迄今為止發行最快的版本，僅用10周時間。此版本繼續關注Kubernetes的穩定性和可擴充套件性，其中在儲存和群集生命週期領域的三個主要功能實現普遍可用（GA）。Kubeadm簡化叢集管理、容器儲存

kubernetes二進位制部署k8s-master叢集controller-manager服務unhealthy問題

一.問題現象

二.問題解決

三.檢視叢集服務是否正常

相關推薦