背景
通过yaml文件创建rc返回成功,但是pod却没有创建,查询时一直返回No resources found,
[root@CentOS-7-4 /home/k8s]# kubectl create -f redis-master-controller.yaml
replicationcontroller "redis-master" created
[root@CentOS-7-4 /home/k8s]# kubectl get rc
NAME DESIRED CURRENT READY AGE
redis-master 1 0 0 5s
[root@CentOS-7-4 /home/k8s]# kubectl get pod
No resources found.
解决方案
1、关闭ServiceAccount
具体为删除/etc/kubernetes/apiserver配置中,KUBE_ADMISSION_CONTROL 中的ServiceAccount字段,
KUBE_ADMISSION_CONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota"
然后重启kube-apiserver服务,
systemctl restart kube-apiserver
然后删除之前创建的rc,重新创建即可。
这是网上绝大多数人给的解决方案,但是都没有解释为什么。
要想知道为什么这样做,那就得先了解一下ServiceAccount是啥。
Service account是为了方便Pod里面的进程调用kubernetes API或其他外部服务而设计的。可以理解为pod中的进程调用kubernetes API需要认证,就如用户使用kubectl调用kubernetes API需要认证一样。
如果kubernetes开启了ServiceAccount(–admission_control=…,ServiceAccount,… ),那么会在每个namespace下面都会创建一个默认的default的sa。
[root@CentOS-7-4 /home/k8s]# kubectl get sa --all-namespaces
NAMESPACE NAME SECRETS AGE
default default 0 34m
kube-system default 0 34m
我们都只知道,要验证,肯定需要个密钥,也就是这个secrets。从上面查看的情况,系统上并没有这个文件。这本应该是由kubernetes自动创建,但是由于未知原因却没有创建。所以关闭ServiceAccount就无需用到这secrets,就不会报错。
另一方面,除了上述关闭ServiceAccount的方案,我们还可以通过完成认证来解决问题。
2、完成认证
完成认证在于要生成secrets,可通过如下步骤操作,
1、生成签名密钥:
openssl genrsa -out /tmp/serviceaccount.key 2048
2、更新/etc/kubernetes/apiserver,增加如下配置:
KUBE_API_ARGS="--service_account_key_file=/tmp/serviceaccount.key"
3、更新/etc/kubernetes/controller-manager,增加如下配置:
KUBE_CONTROLLER_MANAGER_ARGS="--service_account_private_key_file=/tmp/serviceaccount.key"
然后重启kube-controller-manager和kube-apiserver服务,
systemctl restart kube-controller-manager kube-apiserver
此时,如果没有其他错误,无需删除之前创建的rc,pod稍后即可查询到已创建。