【Kubernetes】failed to list *core.Secret: unable to transform key

最新推荐文章于 2025-04-28 13:39:31 发布
最新推荐文章于 2025-04-28 13:39:31 发布
阅读量734 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 云原生 文章标签: kubernetes docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dingpwen/article/details/125022622
在安装Kubernetes本地集群时遇到一个错误:`failed to list *core.Secret: unable to transform key...`。错误源于多次运行生成TLS Bootstrap Secret的命令,或者在手动安装时误设置了`spec.securityContext.seccompProfile.type=RuntimeDefault`,导致自动生成的secret与手动创建的冲突。解决方案包括清除集群缓存,删除多余secret配置,然后重启kubelet服务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在安装Kubernetes本地集群时,偶然遇到如下问题:

E0514 07:30:58.627632 1 cacher.go:424] cacher (*core.Secret): unexpected ListAndWatch error: failed to list *core.Secret: unable to transform key “/registry/secrets/default/default-token-nk77g”: invalid padding on input; reinitializing…
W0514 07:30:59.631509 1 reflector.go:324] storage/cacher.go:/secrets: failed to list *core.Secret: unable to transform key “/registry/secrets/default/default-token-nk77g”: invalid padding on input
E0514 07:30:59.631563 1 cacher.go:424] cacher (*core.Secret): unexpected ListAndWatch error: failed to list *core.Secret: unable to transform key “/registry/secrets/default/default-token-nk77g”: invalid padding on input; reinitializing…
W0514 07:31:00.633540 1 reflector.go:324] storage/cacher.go:/secrets: failed to list *core.Secret: unable to transform key “/registry/secrets/default/default-token-nk77g”: invalid padding on input
E0514 07:31:00.633575 1 cacher.go:424] cacher (*core.Secret):

最低0.47元/天 解锁文章

200万优质内容无限畅学
kubeadm join时报错Unauthorized
wangmiaoyan的博客
10-11 1592
如图: [root@node1 ~]# kubeadm join 172.31.17.51:6443 --token le4vib.zn8g056y1spx24a1 --discovery-token-ca-cert-hash sha256:808ab5fc7df90edd907c53d21969b8d9ef43eab43599711c453762570440b98a [preflig...
Win32 Error Codes(转)
阿荣的技术专栏
11-03 8269
  CodeDescriptionName0The operation completed successfully.ERROR_SUCCESS1Incorrect function.ERROR_INVALID_FUNCTION2The system cannot find the file specified.ERROR
k8s集群重启后,kubelet无法启动
沐风飞花
05-12 8089
问题描述: 异常排除过程: 重启master节点后,执行: root@k8s-master:~/k8sYamlFile# kubectl get node 输出:The connection to the server 192.168.253.8:6443 was refused - did you specify the right host or port? 检查netstat -ntp,发现6443服务并未开启,判断kubectl服务异常 使用systemctl status kubelet.ser
二进制高可用安装报错解决
weixin_30821731的博客
02-09 1615
1、高可用脚本安装完etcd后启动失败 解决:所有节点重启即可解决。这样的情况遇到了三次,就是因为电脑太卡了,当时cpu利用率很高,达到了94%。脚本是正确的,跟脚本没有关系 所以最好分开安装,先安装etcd集群,然后重启所有节点,再安装k8s部分, 2、kube-apiserver报错: Failed to list *core.Secret: unable to t...
Kubernetes的错误信息处理
最新发布
qq_44534541的博客
04-28 490
通过上述分步解决方案,97%的同类问题可在15分钟内修复。建议生产环境定期执行。
k8s集群安装问题及解决
qq_36595568的博客
04-19 4093
新手安装k8s集群常见问题以及解决
[Microk8s] calico-kube-controller not running: Failed to initialize Calico datastore error... 解决方法
pcj_888的博客
05-08 2352
[Microk8s] calico-kube-controller not running: `Failed to initialize Calico datastore error=Get “https://10.152.183.1:443/apis/crd.projectcalico.org/v1/clusterinformations/default”: context deadline exceeded` 解决方法
AlertManager配置钉钉告警告警分组和告警抑制、查看Kubernetes集群资源使用情况和日志、维护K8s集群CA证书、Kubernetes集群版本升级和K8s集群版本升级实操
Chauncey_Qin的博客
08-08 1万+
群--> 设置 --> 智能群助手 -- > 添加机器人安全设置 加签复制 webhook地址和加签字符串,等会配置文件里使用。
CVPR2017论文摘要汇总
热门推荐
super_chicken的博客
04-09 1万+
1. Exclusivity-Consistency Regularized Multi-view Subspace Clustering Abstract: Multi-view subspace clustering aims to partition a set of multi-source data into their underlying groups. To boost the ...
stackstorm 30. 源码分析之----stackstorm重要场景run action
qingyuanluofeng的专栏
06-09 682
目标: 弄清楚run action原理 目录: 0 st2api调试代码前准备 1 st2api服务分析 2 关键方法publish_request分析 3 st2actionrunner调试代码前准备 4 st2actionrunner服务分析 5 总结 0 st2api调试代码前准备 将st2api容器启动命令修改 将 containers: - command: - bash - -c - exec /opt/stacksto...
k8s安装过程中出现api-service启动失败
yuxuan89814的专栏
06-23 2092
失败原因查看 cat /var/log/messages|grep kube-apiserver|grep -i error Jun 22 20:11:53 localhost kube-apiserver: E0622 20:11:53.535079 4461 cacher.go:260] unexpected ListAndWatch error: pkg/storage/cacher.go:201: Failed to list *api.Service: client: etcd cl
kudu服务无法启动问题!
qm5132的博客
05-14 3479
最近在kudu开发时候,遇到一个奇怪问题:kudu原本正常,重启之后再也无法正常启动,报错信息如下: E0514 10:27:54.910121 16072 webserver_options.cc:111] --webserver_private_key_password_cmd may not be set without --webserver_private_key_file E051...
【Oracle篇】19c新特性自动索引介绍
奈斯DB的博客
12-14 3309
Oracle 19c 中引入的自动索引功能通过机器学习自动创建、管理和删除索引,以优化查询性能并减少人工干预。这项功能可以根据实际负载动态调整索引以适应变化的查询需求,使数据库优化更智能高效。
KubernetesSecret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
微信小程序:padding无效问题
sunlihong123的博客
04-29 2615
加入代码 box-sizing:border-box;
kubelet 证书过期导致 k8s 集群 notready
Man_In_The_Night的博客
10-27 2379
pod 部署不上 [root@infra-k8s01 ~]# kb get po -n dev NAME READY STATUS RESTARTS AGE recommend-system-5944d76fc7-hl242 0/1 Pending 0 43m 查看 pod 信息 [root@infra-k8s01 ~]# kb describe po recommend.
.net core 3.1 部署到centos 闪退_ansible部署k8s
weixin_42374596的博客
01-03 344
目录1、安装ansible2、安装k8s3、检查环境3.1、检查etcd3.2、检查flanneld3.3、检查nginx和keepalived3.4、检查kube-apiserver3.5、检查 kube-controller-manager3.6、检查kube-scheduler3.7、检查kubelet3.8、检查kube-proxy4、检查附加组件4.1、检查coredns4.2、检查da...
Failed to watch *v1.EndpointSlice: failed to list *v1.EndpointSlice: Get "https://172.16.0.3:6443/apis/discovery.k8s.io/v1/endpointslices?labelSelector=%21service.kubernetes.io%2Fheadless%2C%21service.kubernetes.io%2Fservice-proxy-name&limit=500&resourceVersion=0": x509: certificate is valid for 10.96.0.1, 117.72.115.93, not 172.16.0.3 ^C
03-22
<think>好的,我现在需要解决用户提出的Kubernetes中EndpointSlice相关的x509证书验证失败问题,具体错误是“certificate is valid for 10.96.0.1, not 172.16.0.3”。首先,我得理解这个问题的背景和可能的原因。 用户提供的错误信息显示,证书的有效IP地址是10.96.0.1,但当前尝试连接的IP是172.16.0.3,这导致验证失败。这通常是因为Kubernetes API服务器的证书没有包含客户端尝试访问的IP地址。需要确认证书中是否包含了所有必要的IP和域名。 接下来,我需要参考用户提供的引用内容,特别是引用[1]、[2]、[4]中提到的解决方法。例如,引用[2]和[4]都提到使用kubeadm重新生成API服务器的证书,并添加额外的SANs(Subject Alternative Names),包括所需的IP地址。这可能是一个关键的解决步骤。 首先,检查API服务器当前的证书配置。用户可能需要检查/etc/kubernetes/pki目录下的apiserver.crt文件,使用openssl命令查看证书中的SANs列表,确认是否包含172.16.0.3这个IP地址。如果没有,就需要重新生成证书,并在生成时通过--apiserver-cert-extra-sans参数添加该IP。 然后,按照引用[4]的步骤,删除旧的apiserver证书,然后使用kubeadm重新生成新的证书。例如,运行命令: kubeadm init phase certs apiserver --apiserver-advertise-address <原广告地址> --apiserver-cert-extra-sans 172.16.0.3 这里需要确保--apiserver-advertise-address参数设置正确,通常是Master节点的原IP地址,而--apiserver-cert-extra-sans添加新的IP地址172.16.0.3。 生成新证书后,需要重启API服务器和相关服务,比如kubelet,使新证书生效。引用[2]中提到执行systemctl restart kubelet.service来重启服务。同时,可能需要更新kubeconfig文件,例如使用kubeadm alpha certs renew admin.conf来刷新管理员配置文件,如引用[2]所示。 此外,如果EndpointSlice控制器或相关组件使用了自己的证书,可能需要检查这些组件的证书配置,确保它们的SANs也包含所需的IP地址。不过,通常情况下,API服务器的证书是主要的问题点。 还需要考虑网络配置是否正确,比如Calico等CNI插件是否有问题。引用[3]提到Calico在IP变更后出现证书问题,可能与节点IP变化有关,但当前问题中的错误直接指向API服务器证书,因此可能不需要调整CNI,除非网络配置有更深层次的问题。 最后,验证解决步骤是否有效。更新证书并重启服务后,再次访问EndpointSlice相关功能,查看是否仍然存在证书错误。如果问题依旧,可能需要进一步检查其他组件或日志,以排除其他潜在原因。 总结可能的解决步骤:检查证书SANs,重新生成API服务器证书,添加缺失的IP,重启服务,更新kubeconfig,验证结果。</think>### Kubernetes EndpointSlice x509证书验证失败问题解决方案 当出现`x509: certificate is valid for 10.96.0.1, not 172.16.0.3`错误时,说明Kubernetes API服务器的证书未包含客户端访问的IP地址(此处为`172.16.0.3`),导致TLS验证失败。以下是具体解决步骤: --- #### **1. 确认证书SANs列表** 首先查看API服务器证书的SANs(Subject Alternative Names): ```bash openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout | grep -A1 "X509v3 Subject Alternative Name" ``` 若输出中未包含`172.16.0.3`,则需重新生成证书[^2][^4]。 --- #### **2. 重新生成API服务器证书** 删除旧证书并生成新证书(需包含所有必要IP): ```bash cd /etc/kubernetes/pki rm apiserver.key apiserver.crt kubeadm init phase certs apiserver \ --apiserver-advertise-address <原广告地址> \ # 如10.96.0.1或原内网IP --apiserver-cert-extra-sans 172.16.0.3 # 添加缺失的IP ``` 示例: ```bash kubeadm init phase certs apiserver \ --apiserver-advertise-address 10.96.0.1 \ --apiserver-cert-extra-sans 172.16.0.3 ``` --- #### **3. 重启相关服务** 更新证书后重启组件以生效: ```bash systemctl restart kubelet.service docker restart $(docker ps | grep kube-apiserver | awk '{print $1}') # 若使用Docker ``` --- #### **4. 更新kubeconfig文件** 若使用`admin.conf`访问集群,需刷新证书: ```bash kubeadm alpha certs renew admin.conf cp /etc/kubernetes/admin.conf ~/.kube/config ``` --- #### **5. 验证EndpointSlice连接** 重新执行涉及EndpointSlice的操作(如查询或创建): ```bash kubectl get endpointslices ``` 若无报错,则问题已解决。 --- #### **可能关联问题** - **Calico网络插件**:若节点IP变更后Calico报错,需同步更新节点IP并重启Pod[^3]。 - **Service类型配置**:若EndpointSlice通过NodePort暴露,确保Service配置正确[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值