Tôi có một cụm kubernetes cục bộ bằng cách sử dụng loại. Nó là một cụm nút duy nhất.
Trên cụm này tôi đang theo dõi cái này hướng dẫn thiết lập Vault & vault-agent-injector.
Nếu tôi làm theo hướng dẫn từng bước, kết quả cuối cùng là nhóm sơ đồ tổ chức sẽ không khởi động được vì nó vẫn đang đợi vault-agent sidecar khởi động.
kubectl lấy nhóm:
NAMESPACE NAME TÌNH TRẠNG SẴN SÀNG KHỞI ĐỘNG LẠI TUỔI
dnstools mặc định 0/1 Đã hoàn thành 0 22 phút
mặc định orgchart-7457f8489d-hxtqt 1/1 Đang chạy 0 26 phút
mặc định orgchart-798cbc6c76-4kzrl 0/2 Ban đầu: 0/1 0 25m
vault mặc định-0 1/1 Đang chạy 0 28m
mặc định vault-agent-injector-79d479cf7d-kz67q 1/1 Chạy 0 28m
kube-system coredns-558bd4d5db-gnxl7 1/1 Đang chạy 0 45m
kube-system coredns-558bd4d5db-ph95m 1/1 Đang chạy 0 45 phút
kube-system etcd-kind-control-plane 1/1 Chạy 0 45m
kube-system kindnet-bjvzg 1/1 Chạy 0 45m
kube-system kube-apiserver-kind-control-plane 1/1 Đang chạy 0 45m
kube-system kube-controller-manager-kind-control-plane 1/1 Chạy 0 45m
kube-system kube-proxy-v5545 1/1 Chạy 0 45m
kube-system kube-scheduler-kind-control-plane 1/1 Chạy 0 45m
local-path-storage local-path-provisioner-547f784dff-mp79j 1/1 Chạy 0 45m
kubectl nhận svc:
NAMESPACE TÊN LOẠI CLUSTER-IP (CỔNG IP NGOÀI) TUỔI
mặc định kubernetes ClusterIP 10.96.0.1 <không> 443/TCP 44m
kho tiền mặc định ClusterIP 10.96.42.180 <không có> 8200/TCP,8201/TCP 27m
mặc định vault-agent-injector-svc ClusterIP 10.96.156.79 <không có> 443/TCP 27m
mặc định vault-internal ClusterIP Không có <none> 8200/TCP,8201/TCP 27m
kube-system kube-dns ClusterIP 10.96.0.10 <none> 53/UDP,53/TCP,9153/TCP 44m
kubectl mô tả tổ chức:
Tên: orgchart-798cbc6c76-4kzrl
Không gian tên: mặc định
Ưu tiên: 0
Nút: kind-control-plane/172.18.0.2
Thời gian bắt đầu: Thứ sáu, ngày 20 tháng 8 năm 2021 13:07:13 +0000
Nhãn: ứng dụng=sơ đồ tổ chức
pod-template-hash=798cbc6c76
Chú thích: vault.hashicorp.com/agent-inject: true
vault.hashicorp.com/agent-inject-secret-database-config.txt: internal/data/database/config
vault.hashicorp.com/agent-inject-status: đã tiêm
vault.hashicorp.com/role: ứng dụng nội bộ
Tình trạng: Đang chờ
IP: 10.244.0.12
IP:
IP: 10.244.0.12
Được kiểm soát bởi: ReplicaSet/orgchart-798cbc6c76
Bộ chứa ban đầu:
vault-agent-init:
ID vùng chứa: containerd://d7dc0c9d089a1e59d85ac16a422a5195f5e7026a5c98a004d5e6a6a576900119
Hình ảnh: hashicorp/vault:1.8.0
ID hình ảnh: docker.io/hashicorp/vault@sha256:54d12f84c0bfbed57d2d2e1d89099540c5ccb4e6c3b2b0a123b82dab12c99e75
Cổng: <không có>
Cổng máy chủ: <none>
Chỉ huy:
/bin/sh
-ec
lập luận:
tiếng vang ${VAULT_CONFIG?} | base64 -d > /home/vault/config.json && vault agent -config=/home/vault/config.json
Trạng thái: Đang chạy
Bắt đầu: Thứ sáu, ngày 20 tháng 8 năm 2021 13:07:14 +0000
Sẵn sàng: Sai
Số lần khởi động lại: 0
Hạn mức:
CPU: 500m
bộ nhớ: 128Mi
yêu cầu:
CPU: 250m
bộ nhớ: 64Mi
Môi trường:
VAULT_LOG_LEVEL: thông tin
VAULT_LOG_FORMAT: tiêu chuẩn
VAULT_CONFIG: <BẢO MẬT>
gắn kết:
/home/vault từ home-init (rw)
/var/run/secrets/kubernetes.io/serviceaccount từ kube-api-access-lx52m (ro)
/vault/bí mật từ bí mật vault (rw)
Hộp đựng:
sơ đồ tổ chức:
Mã vùng chứa:
Hình ảnh: jweissig/ứng dụng:0.0.1
Mã hình ảnh:
Cổng: <không có>
Cổng máy chủ: <none>
Trạng thái: Chờ đợi
Lý do: PodInitializing
Sẵn sàng: Sai
Số lần khởi động lại: 0
Môi trường: <không>
gắn kết:
/var/run/secrets/kubernetes.io/serviceaccount từ kube-api-access-lx52m (ro)
/vault/bí mật từ bí mật vault (rw)
đại lý kho tiền:
Mã vùng chứa:
Hình ảnh: hashicorp/vault:1.8.0
Mã hình ảnh:
Cổng: <không có>
Cổng máy chủ: <none>
Chỉ huy:
/bin/sh
-ec
lập luận:
tiếng vang ${VAULT_CONFIG?} | base64 -d > /home/vault/config.json && vault agent -config=/home/vault/config.json
Trạng thái: Chờ đợi
Lý do: PodInitializing
Sẵn sàng: Sai
Số lần khởi động lại: 0
Hạn mức:
CPU: 500m
bộ nhớ: 128Mi
yêu cầu:
CPU: 250m
bộ nhớ: 64Mi
Môi trường:
VAULT_LOG_LEVEL: thông tin
VAULT_LOG_FORMAT: tiêu chuẩn
VAULT_CONFIG: <BẢO MẬT>
gắn kết:
/home/vault từ home-sidecar (rw)
/var/run/secrets/kubernetes.io/serviceaccount từ kube-api-access-lx52m (ro)
/vault/bí mật từ bí mật vault (rw)
Điều kiện:
Loại Trạng thái
Khởi tạo Sai
Sẵn sàng Sai
ContainerSẵn sàng Sai
PodScheduled True
tập:
kube-api-access-lx52m:
Loại: Dự kiến (ổ chứa dữ liệu được đưa vào từ nhiều nguồn)
Số giây hết hạn mã thông báo: 3607
ConfigMapName: kube-root-ca.crt
ConfigMapOptional: <nil>
API hướng xuống: đúng
khởi tạo tại nhà:
Loại: EmptyDir (một thư mục tạm thời chia sẻ thời gian tồn tại của nhóm)
Trung bình: Bộ nhớ
SizeLimit: <bỏ đặt>
home-sidecar:
Loại: EmptyDir (một thư mục tạm thời chia sẻ thời gian tồn tại của nhóm)
Trung bình: Bộ nhớ
SizeLimit: <bỏ đặt>
bí mật kho tiền:
Loại: EmptyDir (một thư mục tạm thời chia sẻ thời gian tồn tại của nhóm)
Trung bình: Bộ nhớ
SizeLimit: <bỏ đặt>
Lớp QoS: Ổn định
Bộ chọn nút: <none>
Dung sai: node.kubernetes.io/not-ready:NoExecute op=Exists for 300s
node.kubernetes.io/unreachable:NoExecute op=Tồn tại trong 300 giây
Sự kiện:
Nhập Lý do Tuổi từ Tin nhắn
---- ------ ---- ---- -------
Bình thường Trình lập lịch mặc định 26 phút đã lên lịch Đã gán thành công mặc định/orgchart-798cbc6c76-4kzrl cho mặt phẳng điều khiển loại
Bình thường đã kéo 26m kubelet Container image "hashicorp/vault:1.8.0" đã có trên máy
Đã tạo bình thường 26m kubelet Đã tạo vùng chứa vault-agent-init
Bắt đầu bình thường 26m kubelet Đã bắt đầu container vault-agent-init
Cảnh báo DNSConfigForming 53s (x25 trên 26m) đã vượt quá giới hạn Dòng tìm kiếm kubelet, một số đường dẫn tìm kiếm đã bị bỏ qua, dòng tìm kiếm được áp dụng là: default.svc.cluster.local svc.cluster.local cluster.local <BẢO MẬT> <BẢO MẬT> < ĐÃ GIẤU>
Nhìn vào nhật ký apiserver, tôi thấy thông báo sau:
E0820 13:03:55.315142 1 điều phối.go:171] gọi webhook "vault.hashicorp.com" không thành công: Đăng "https://vault-agent-injector-svc.default.svc:443/mutate?timeout=10s" : quay số tcp 10.96.156.79:443: kết nối: không có tuyến đến máy chủ
Và nhìn vào nhật ký vault-agent-injector, tôi thấy thông báo sau:
2021-08-20T13:03:55.887Z Trình xử lý [INFO]: Trình xử lý bắt đầu..
Đang nghe trên ":8080"...
2021-08-20T13:03:55.896Z [INFO] handler.auto-tls: CA đã tạo
2021-08-20T13:03:55.899Z [INFO] handler.certwatcher: Đã nhận được gói chứng chỉ cập nhật. Đang cập nhật chứng chỉ...
2021-08-20T13:05:55.808Z Trình xử lý [INFO]: Yêu cầu đã nhận: Phương thức=POST URL=/mutate?timeout=10s
2021-08-20T13:07:13.447Z Trình xử lý [INFO]: Yêu cầu đã nhận: Phương thức=POST URL=/mutate?timeout=10s
2021-08-20T13:10:16.613Z Trình xử lý [INFO]: Yêu cầu đã nhận: Phương thức=POST URL=/mutate?timeout=10s
Tôi đã định cấu hình cụm loại của mình để có thể sử dụng MutatingAdmissionWebhooks:
loại: Cụm
apiVersion: kind.x-k8s.io/v1alpha4
điểm giao:
- vai trò: máy bay điều khiển
Các bản vá kubeadmConfig:
- |
loại: InitConfiguration
nútĐăng ký:
kubeletExtraArgs:
nhãn nút: "ingress-ready=true"
- |
loại: ClusterConfiguration
máy chủ api:
phụArgs:
kích hoạt-admission-plugins: NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook
ExtraPortMappings:
- cảng container: 80
cổng máy chủ: 8080
giao thức: TCP
- cảng container: 443
máy chủ: 8443
giao thức: TCP
mạng:
apiServerAddress: "127.0.0.1"
apiServerPort: 443
Tôi có thể thực hiện những bước tiếp theo nào để giúp tôi gỡ lỗi sự cố?
Tôi nghĩ đây là sự cố với tra cứu dns cho vault-agent-injector-svc nhưng tôi không chắc bắt đầu từ đâu.
Cảm ơn,
Max Sargent
