Kube-apiserver出现“Unable to authenticate the request”错误的解决方案

最新推荐文章于 2025-06-20 15:36:39 发布
最新推荐文章于 2025-06-20 15:36:39 发布
阅读量1.4k 收藏
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Docker 文章标签: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Loiterer_Y/article/details/143113340

项目场景:

之前使用工具一键部署K8S集群,并在集群部署一些服务。某天突然发现服务无法访问。

问题描述

1、执行kubectl get node节点状态均为NotReady
2、执行kubectl logs pod_name -n namespace时出现报错Internal error occurred: Authorization error (user=kubernetes,verb=get,resource=nodes,subresource=proxy)
3、执行kubectl status kubectl出现报错Unable to register node with API server” err=“Unauthorized”
4、执行systemctl status kube-apiserver出现报错Unable to authenticate the request” err=“[x509: certificate signed by unknown authority (possibly because of “crypto/rsa: verification error” while trying to verify candidate authority certificate “kubernetes”)

原因分析:

kube-apiservekubelet之间的证书过期,或者kubelet bootstrap引导出错,使得两个之间未能正常建立连接。

解决方案:

1、登录master和node所在主机,删除kubelet证书(如果不放心,删除前可先做备份)

$ rm /etc/kubernetes/ssl/kubelet.*

2、登录master和node所在主机,重启kubelet
3、重启后,节点和master之间恢复通讯,服务也可以正常访问了。

K8S学习心得 == kube-controller-manager 报错configmaps "extension-apiserver-authentication" is forbidden: U...
weixin_30640291的博客
05-25 2186
当我按照教材设置证书,配置好kube-controller的相关条件后,启动kube-controller-manage组件,却意外报错。 一、基本信息如下: 1. kube-controller-manager.service 文件如下 [Unit]Description=kubernetes controller-manager serviceAfter=n...
kubeadm安装的k8s,证书过期了怎么办?
qq_50119948的博客
05-06 2082
. 问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便。但是它创建的apiserver、controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务。 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书。不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实。 我们可以在过期之前或之后,
elasticsearch报错AuthenticationException(401, ‘security_exception‘,‘unable to authenticate user
最新发布
lzcs1的博客
06-20 462
es报标题的错时,9200端口的认证页面虽然可以打开,但没法登录,也就是。.security-7没法正常生成。kibana此时会报错。
Unable to authenticate the request due to an error: x509: certificate has expired or is not yet vali
个人成长的轨迹记录
12-20 370
环境是3节点master,将三台master主机的/etc/kubernetes/manifests/目录下kube-apiserver.yaml kube-controller-manager.yaml kube-scheduler.yaml文件移动到/tmp目录下,等待二十秒后再次移动回来,再次查看日志,发现不再刷证书的报错了,重启kube-proxy服务后,集群恢复正常。日志报错证书已过期或尚未有效,立即查看集群内证书有效期发现并没有过期。
kube-apiserver 报错 Unable to authenticate the request“ err=“[x509: certificate signed by unknown ...
rockstics的博客
02-11 9355
问题描述: 采用ansible 二进制方式部署kubernetes, 部署完成后kubectl get node 节点状态 NotReady kubectl get pod -n kube-system 发现 calico 处于 Pending 状态 查看pod日志 kubectl logs -f calico-node-7fw9h -n kube-system 报错为: Authorization error (user=kubernetes, verb=get, resource=nodes,
部署Kubernetes kube-apiserver启动失败
热门推荐
山东梅长苏
05-11 3万+
systemctl restart kube-apiserver启动失败 [root@centos-master yum.repos.d]# systemctl status kube-apiserver.service ● kube-apiserver.service - Kubernetes API Server Loaded: loaded (/usr/lib/systemd/syst...
解决Azure Management API ForbiddenError: The server failed to authenticate the request
zwl_tony的专栏
11-03 2792
问题描述 最近使用Windows Azure Management Libraries (Nuget:https://www.nuget.org/packages/Microsoft.WindowsAzure.Management.Libraries)管理Mooncake 里的Azure Service, 发现一直出现以下错误: ForbiddenError: The server faile
kubeadm init 时启动 apiserver失败
chatbox
03-13 728
contained默认镜像有问题。
kubernetes源码分析-kube-apiserver
xiyanxiyan10的专栏
02-13 523
基于属性的访问控制(Attribute-based access control - ABAC)定义了访问控制范例,其中通过使用将属性组合在一起的策略来向用户授予访问权限。启用ABAC鉴权器需要额外增加一个。
Kube-apiserver 认证鉴权插件Authenticator和Authorizer
u014152978的博客
06-24 2058
Kube-apiserver 认证鉴权插件Authenticator和Authorizer 原文链接:https://note.youdao.com/ynoteshare1/index.html?id=9d0b804336ce5f4009d35848bc3acded&type=note 一、初始化入口 cmd/kube-apiserver/app/server.go中的BuildAuthenticator函数初始化kube-apiserver的认证插件,这个函数又调用了pkg/kubeapis
kubeapiServer学习
一直行走在路上
04-27 1万+
apiserver相当于是k8集群的一个入口,不论通过kubectl还是使用remote api 直接控制,都要经过apiserverapiserver说白了就是一个server负责监听指定的端口. main函数的代码位于./kubernetes/cmd/kube-apiserver: func main() { runtime.GOMAXPROCS(runtime.NumCPU
kubeadm 部署k8s kube-apiserver无法正常启动的问题
Jerry00713的博客
08-20 1万+
9.kubeadm init --kubernetes-version=v1.17.17 --pod-network-cidr=10.244.0.0/16 --service-cidr=10.96.0.0/16 --ignore-preflight-errors=Swap 初始化节点 (根据情况修改),或者按照。12.下载并安装flannel配置,需要配置kube-flannel.yml, 或者按照。15.查看节点,已经出现,查看6443端口号,已经出现。3.ll -a 查看是否存在.kube文件。
Hadoop Pipes程序运行报错Server failed to authenticate解决方法
KelJony的专栏
06-10 2037
这类问题的解决方法,网络上很
kubesphere安装报错
斯坦索姆的博客
12-03 311
【代码】kubesphere安装报错。
Hadoop Pipes “Server failed to authenticate错误及解决
XXL的技术博客
10-04 3686
问题描述: 《hadoop实战》(第2版)3.5节的Hadoop Pipes例子。 makefile的内容: HADOOP_INSTALL=/home/xxl/hadoop-1.1.2 PLATFORM=Linux-i386-32 SSL_INSTALL=/usr/local/ssl CC=g++ CPPFLAGS=-m32 -I$(HADOOP_INSTALL)/c++/$(PLA
二进制安装k8s apiserver 组件启动失败
weixin_47245762的博客
05-25 1525
查看启动api-server.conf配置文件对应路径文件均存在,重新生成证书以及token.csv依然启动失败,在api-server中设置的,开启了准入控制的一些插件,如下。解决:在api-server.servervice中加入此变量。$KUBE_APISERVER_OPTS导致问题,此变量是。由于启动文件api-server.service缺少。再次重新加载配置文件并启动,启动正常。
查看k8s证书过期时间:各组件
学亮编程手记
02-22 5113
[root@k8s-n0 kuboard-install]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml' [check-expi
Kubernetes Api Server未授权访问漏洞
weixin_71053667的博客
08-05 504
Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port (默认8080)、Secure Port (默认6443)。这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API 列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。
解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
weixin_39518516的博客
08-01 2002
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重新生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3、生成新的apiserver证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不会画画的画师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值