Kubernetes 生成的serviceaccount令牌被kube apiserver拒绝
我有一个成功工作的集群,没有任何问题,我已经尝试了它的副本。它基本上正常工作,除了一个问题-apiserver生成的令牌无效,并显示错误消息:Kubernetes 生成的serviceaccount令牌被kube apiserver拒绝,kubernetes,Kubernetes,我有一个成功工作的集群,没有任何问题,我已经尝试了它的副本。它基本上正常工作,除了一个问题-apiserver生成的令牌无效,并显示错误消息: 6 handlers.go:37] Unable to authenticate the request due to an error: crypto/rsa: verification error 我已使用以下参数启动api服务器: kube-apiserver --address=0.0.0.0 --admission_control=Na
6 handlers.go:37] Unable to authenticate the request due to an error: crypto/rsa: verification error
我已使用以下参数启动api服务器:
kube-apiserver --address=0.0.0.0 --admission_control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota --service-cluster-ip-range=10.116.0.0/23 --client_ca_file=/srv/kubernetes/ca.crt --basic_auth_file=/srv/kubernetes/basic_auth.csv --authorization-mode=AlwaysAllow --tls_cert_file=/srv/kubernetes/server.cert --tls_private_key_file=/srv/kubernetes/server.key --secure_port=6443 --token_auth_file=/srv/kubernetes/known_tokens.csv --v=2 --cors_allowed_origins=.* --etcd-config=/etc/kubernetes/etcd.config --allow_privileged=False
我想我遗漏了一些东西,但找不到确切的东西,任何帮助都将不胜感激 您可以在下面看到api服务器的标志,它适用于我。看看这个
--insecure-bind-address=${OS_PRIVATE_IPV4}
--bind-address=${OS_PRIVATE_IPV4}
--tls-cert-file=/srv/kubernetes/server.cert
--tls-private-key-file=/srv/kubernetes/server.key
--client-ca-file=/srv/kubernetes/ca.crt
--admission_control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota
--token-auth-file=/srv/kubernetes/known_tokens.csv
--basic-auth-file=/srv/kubernetes/basic_auth.csv
--etcd_servers=http://${OS_PRIVATE_IPV4}:4001
--service-cluster-ip-range=10.10.0.0/16
--logtostderr=true
--v=5
显然,控制器管理器使用的server.key是错误的。 根据需要,令牌由控制器管理器生成
当我复制我的所有配置时,我不得不更改ipaddress,也不得不更改证书。但是控制器管理器从“旧”证书开始,在更改后创建了错误的密钥,因为server.key 你指的是七百万中的哪一个?链接的URL不再有效。这是正确的更新吗?