k8s问题排查:the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired

最新推荐文章于 2024-06-11 15:29:22 发布
原创 最新推荐文章于 2024-06-11 15:29:22 发布 · 2.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #kubelet

文章描述了如何处理kubelet因证书过期而无法启动的问题。首先,通过kubeadmcertscheck-expiration检查证书状态,然后备份并重新生成过期的证书和配置文件,接着重启kubelet,并确保更新admin.conf。如果存在旧的.kube配置,需要删除后再复制新配置。最后验证kubelet的状态。

journalctl -u kubelet --no-pager 发现kubelet启动失败

E0728 23:35:23.526561 12500 bootstrap.go:265] part of  the existing bootstrap client certificate in /etc/kubernetes/kubelet.conf is expired: 2022-10-05 03:16:49 +0000 UTC
E0728 23:35:23.526583 12500 server.go:292] "Failed to run kubelet" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory

从日志给出的提示说明是证书过期导致。

  • 统一查看证书是否过期 :
    • </
最低0.47元/天 解锁文章
k8s之认证文件丢失
weixin_60552163的博客
06-27 2358
重新生成证书
k8s之认证文件失效,导致kubelet无法正常启动
weixin_60552163的博客
06-08 2138
如:你将master节点设置为可以调度,将配置文件重新生成后,master节点会恢复到原来的不可调度的情况,当你的k8s集群只要一个master节点,那么pod将没有机器可以调度。要慎重,因为这样做会将原有集群生成的资源信息重置掉。(目前按照这种方法做了,kubelet可以起来,集群正常。配置文件生成完后,会将原有的pod,svc,ns等资源去除,配置的一些内容也很更新,需要确认。首先集群状态无法查看,检查了防火墙,selinux是否关闭。查看kubulet进程,发现kubelet有报错。
K8S 证书过期解决办法
热门推荐
海鸥
04-14 1万+
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 一、确认K8S证书过期时间 查看k8s某一证书过期时间:
k8s报错:Part of the existing bootstrap client certificate is expired: 2023-03-22 12:10:46 +0000 UTC
qq_45658257的博客
08-21 444
证书过期查看证书有效日期。
kubelet证书过期问题处理
niuwj666的博客
06-11 1075
按照以上方式改好后,重启kubelet会生成新的证书(重启kubelet就会生成新的.crt .key证书),但是.crt .key证书无需理会,目前来看不知道有啥用,即使过期很长时间,也不影响使用。下面这个命令可以看到证书的有效期openssl x509 -in 证书路径/证书名称 -noout -text | grep Not。
[root@ex2 ~]# ls -l /etc/kubernetes/pki/ca.crt -rw-r--r-- 1 root root 1107 May 13 10:24 /etc/kubernetes/pki/ca.crt [root@ex2 ~]# clientCAFile: /etc/kubernetes/pki/ca.crt -bash: clientCAFile:: command not found [root@ex2 ~]# dnf install clientCAFile Last metadata expiration check: 0:57:32 ago on Tue 13 May 2025 09:38:54 AM CST. No match for argument: clientCAFile Error: Unable to find a match: clientCAFile [root@ex2 ~]# kubeadm init phase certs all --config /etc/kubernetes/kubeadm-config.yaml [certs] Using certificateDir folder "/etc/kubernetes/pki" [certs] Using existing ca certificate authority [certs] Generating "apiserver" certificate and key [certs] apiserver serving cert is signed for DNS names [kubernetes kubernetes.default kubernetes.default.svc kubernetes.default.svc.cluster.local node] and IPs [10.96.0.1 192.168.56.103] [certs] Generating "apiserver-kubelet-client" certificate and key [certs] Generating "front-proxy-ca" certificate and key [certs] Generating "front-proxy-client" certificate and key [certs] Generating "etcd/ca" certificate and key [certs] Generating "etcd/server" certificate and key [certs] etcd/server serving cert is signed for DNS names [localhost node] and IPs [192.168.56.103 127.0.0.1 ::1] [certs] Generating "etcd/peer" certificate and key [certs] etcd/peer serving cert is signed for DNS names [localhost node] and IPs [192.168.56.103 127.0.0.1 ::1] [certs] Generating "etcd/healthcheck-client" certificate and key [certs] Generating "apiserver-etcd-client" certificate and key [certs] Generating "sa" key and public key [root@ex2 ~]# kubeadm init phase certs all --config /etc/kubernetes/kubeadm-config.yaml^C [root@ex2 ~]# vim /etc/kubernetes/kubeadm-config.yaml [root@ex2 ~]# kubeadm init phase certs ca # 仅生成CA证书 ^C [root@ex2 ~]# kubeadm init phase certs ca I0513 10:37:02.703232 7782 version.go:256] remote version is much newer: v1.33.0; falling back to: stable-1.29 [certs] Using existing ca certificate authority [root@ex2 ~]# systemctl restart kubelet [root@ex2 ~]# journalctl -f -u kubelet -- Logs begin at Tue 2025-05-06 11:12:05 CST. -- May 13 10:37:12 ex2.orange.com systemd[1]: Stopping kubelet: The Kubernetes Node Agent... May 13 10:37:12 ex2.orange.com systemd[1]: kubelet.service: Succeeded. May 13 10:37:12 ex2.orange.com systemd[1]: Stopped kubelet: The Kubernetes Node Agent. May 13 10:37:12 ex2.orange.com systemd[1]: Started kubelet: The Kubernetes Node Agent. May 13 10:37:12 ex2.orange.com kubelet[7806]: I0513 10:37:12.271425 7806 server.go:492] "Kubelet version" kubeletVersion="v1.29.15" May 13 10:37:12 ex2.orange.com kubelet[7806]: I0513 10:37:12.271448 7806 server.go:494] "Golang settings" GOGC="" GOMAXPROCS="" GOTRACEBACK="" May 13 10:37:12 ex2.orange.com kubelet[7806]: I0513 10:37:12.271517 7806 server.go:924] "Client rotation is on, will bootstrap in background" May 13 10:37:12 ex2.orange.com kubelet[7806]: E0513 10:37:12.271533 7806 run.go:74] "command failed" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory" May 13 10:37:12 ex2.orange.com systemd[1]: kubelet.service: Main process exited, code=exited, status=1/FAILURE May 13 10:37:12 ex2.orange.com systemd[1]: kubelet.service: Failed with result 'exit-code'. qMay 13 10:37:22 ex2.orange.com systemd[1]: kubelet.service: Service RestartSec=10s expired, scheduling restart. May 13 10:37:22 ex2.orange.com systemd[1]: kubelet.service: Scheduled restart job, restart counter is at 1. May 13 10:37:22 ex2.orange.com systemd[1]: Stopped kubelet: The Kubernetes Node Agent. May 13 10:37:22 ex2.orange.com systemd[1]: Started kubelet: The Kubernetes Node Agent. May 13 10:37:22 ex2.orange.com kubelet[7819]: I0513 10:37:22.371705 7819 server.go:492] "Kubelet version" kubeletVersion="v1.29.15" May 13 10:37:22 ex2.orange.com kubelet[7819]: I0513 10:37:22.371727 7819 server.go:494] "Golang settings" GOGC="" GOMAXPROCS="" GOTRACEBACK="" May 13 10:37:22 ex2.orange.com kubelet[7819]: I0513 10:37:22.371809 7819 server.go:924] "Client rotation is on, will bootstrap in background" May 13 10:37:22 ex2.orange.com kubelet[7819]: E0513 10:37:22.371824 7819 run.go:74] "command failed" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory" May 13 10:37:22 ex2.orange.com systemd[1]: kubelet.service: Main process exited, code=exited, status=1/FAILURE May 13 10:37:22 ex2.orange.com systemd[1]: kubelet.service: Failed with result 'exit-code'.
05-14
好的,我现在要解决用户提到的Kuberneteskubelet无法启动的问题,错误是找不到bootstrap-kubelet.conf文件。首先,我需要理解这个问题的背景和相关组件的作用。 用户提供的引用显示,当节点重启后,kubelet服务...
K8S 证书过期的解决方法
paul_ham的博客
10-12 1606
K8S 证书 过期
Kubernetesk8s)之jeckins自动化构建docker镜像并部署到k8s集群
HiterCoder
07-02 5901
1、集群规划,如下所示: 主机名 ip地址 角色 端口号 k8s-master 192.168.110.133 k8s-master api-server:8080 k8s-node2 192.168.110.134 k8s-node1,jenkins tomcat:8080(跑jenkins) k8s-node3 192.168.110.135 k8s-node1,g...
k8s证书过期处理方案
11-17
你还可以通过查看Kubernetes的日志来确认,如果看到“Part of the existing bootstrap client certificate is expired”的信息,那就确信无疑了。 处理证书过期问题,首要任务是备份当前的证书。在Linux系统中,...
kubeadm方式安装kubernetes集群,kubetlet的证书过期
litaiqi12345的博客
08-20 2185
kubeadm方式安装kubernetes集群,kubetlet的证书过期 背景:有node所在的主机重启了,服务器启动后kubelet启动不了; [root@master ~]# kubectl get nodes 有发现有Node处于NotReadly 查看日志如下: Part of the existing bootstrap client certificate is expired: 2021-08-05 00:33:57 +0000 UTC failed to run Kubelet: un
[ERROR FileAvailable--etc-kubernetes-kubelet.conf]: /etc/kubernetes/kubelet.conf already exists
qingcyb的博客
11-20 2734
2、执行kubeadm reset,重新初始化节点配置。3、再执行子节点加入集群的命令。
Kubernetes」- 重新申请证书 @20210227
k4nz
02-27 1236
问题描述 在Kubernetes Cluster中,在集群初时化时创建的证书壹年到期。到期之后,集群的各个组件之间将无法访问。 环境概述 属性 信息 系统环境 CentOS Linux release 7.4.1708 (Core) 软件版本 Kubernetes v1.12.1 解决办法 通过延长证书期限即可解决问题…………无需重新生成证书。 第一步、备份配置文件(主机节点) 运维工作千万条,数据备份第一条: #!/bin/sh cp -drv /etc.
Kubernetes Kubeadm Kubelet 证书自动续签
小楼一夜听春雨,深巷明朝卖杏花
02-25 5211
Kubelet 证书自动续签 K8s证书一般分为两套:K8s组件(apiserver)和Etcd 假如按角色来分,证书分为管理节点和工作节点。 • 管理节点:如果是kubeadm部署则自动生成,如果是二进制部署一般由cfssl或者openssl生成。 • 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会
kubernetes集群证书过期启动失败问题解决方法
夜月鸿影的博客
09-21 1285
PS备注:以上都操作完毕,建议把kubelet、kube-apiserver、kube-controller-manage、kube-scheduler都重启一下!有条件的话可以重启主机来重启上面的服务,实在不行的就手动命令逐个服务重启接口。当前时间是2023-9-21 16:15:52,上图显示证书过期时间是:Jun 08, 2032 16:06 UTC。综上:通过异常日志分析应该是证书过期导致的问题。发现出现了新的问题,解决方案是。如上图所示,发现很多证书都是。# 再次检测证书过期。
/etc/kubernetes/bootstrap-kubelet.conf: no such file or directory“
sqlora的专栏
01-10 2876
"Failed to run kubelet" err="failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.conf: no such file or directory"
解决K8s证书过期问题
m0_52931616的博客
11-02 3909
解决K8s证书过期问题
failed to run Kubelet: unable to load bootstrap kubeconfig: stat /etc/kubernetes/bootstrap-kubelet.
架构+开发+运维
10-25 5651
Failed while requesting a signed certificate from the master: cannot create certificate signing request
安装minikube中启动kubectl失败踩坑
my_danger的博客
09-18 8609
安装minikube中启动kubectl失败 环境:win10家庭版安装VMware,VMware中安装centos7及virtualbox6.0 /etc/sysconfig/docker 的配置如下 # /etc/sysconfig/docker # Modify these options if you want to change the way the docker daemon ru...
K8S异常处理
nsa65223的专栏
12-26 1290
【代码】K8S异常处理。
unable to read existing bootstrap client config from /etc/kubernetes/kubelet.conf: inv
最新发布
07-01
<think>我们正在处理一个Kubernetes节点启动问题,具体错误是:"unableto readexisting bootstrapclient configfrom /etc/kubernetes/kubelet.conf: invalidconfiguration"。这个错误表明kubelet在启动时无法读取或解析指定的配置文件(kubelet.conf),可能是文件损坏、格式错误或路径不正确。 根据引用[1],用户之前可能尝试重新生成bootstrap-kubelet.conf文件,但当前错误是关于kubelet.conf的。因此,我们需要检查kubelet.conf文件的状态。 解决步骤:1.**检查文件是否存在**:首先确认`/etc/kubernetes/kubelet.conf`文件是否存在。 2. **检查文件权限**:确保kubelet用户(通常是root)有权限读取该文件。3.**检查文件内容**:验证文件内容是否为有效的kubeconfig格式。4.**重新生成kubelet.conf**:如果文件损坏或无效,可以尝试重新生成。根据Kubernetes的引导流程,kubelet在首次启动时会使用bootstrap-kubelet.conf文件向APIServer请求证书,然后生成kubelet.conf。如果kubelet.conf已经存在但无效,可能需要重新生成。重新生成kubelet.conf的一种方法是删除现有文件并重启kubelet(在节点加入集群的情况下)。但需要注意,如果节点已经加入集群,删除kubelet.conf后,kubelet会重新使用bootstrap-kubelet.conf进行引导,这需要bootstrap token仍然有效。 具体步骤:1.备份当前的kubelet.conf(以防万一):```bashsudo cp/etc/kubernetes/kubelet.conf /etc/kubernetes/kubelet.conf.bak``` 2.删除损坏的kubelet.conf:```bashsudorm /etc/kubernetes/kubelet.conf``` 3.重启kubelet服务:```bashsudosystemctlrestart kubelet``` 如果bootstrap token仍然有效,kubelet会使用bootstrap-kubelet.conf重新引导并生成新的kubelet.conf。 如果上述方法无效,可能需要检查bootstrap-kubelet.conf文件(引用[1]中提到的文件)是否配置正确。确保bootstrap-kubelet.conf中的集群信息(server地址、证书等)正确。 另外,引用[2]提到了在节点上配置docker的daemon.json以使用私有仓库,这通常与镜像拉取相关,可能不是当前问题的直接原因。引用[3]是一个容器启动错误,也与当前问题无关。如果问题仍然存在,请检查kubelet日志以获取更多信息:```bashsudojournalctl-ukubelet -n100 --no-pager``` 注意:在Kubernetes集群中,如果节点已经成功加入过集群,通常kubelet.conf文件是由kubelet自动生成的。手动创建可能会导致问题。如果重新生成kubelet.conf问题依旧,可能是bootstrap配置的问题,需要检查bootstrap-kubelet.conf的内容和权限。 **重要提示**:在操作之前,请确保你了解这些步骤的影响,特别是在生产环境中。相关问题: 1. Kubernetes节点加入集群的详细流程是怎样的?2.如何更新Kubernetes节点的bootstraptoken?3.如何手动为kubelet生成kubeconfig文件?</think>### Kubernetes节点启动问题分析 您遇到的错误`unable to read existing bootstrap client config from /etc/kubernetes/kubelet.conf: invalid configuration`表明Kubernetes节点启动时无法正确读取kubelet配置文件。这通常由以下原因引起: 1. **配置文件损坏或格式错误** - kubelet.conf文件内容不符合kubeconfig格式要求 - 存在YAML语法错误(如缩进错误、缺少冒号等) - 文件被意外截断或不完整 2. **证书问题** - 引用的客户端证书已过期或无效 - 证书路径配置错误(如绝对路径错误) - 证书与当前集群不匹配 3. **权限问题** - kubelet用户(通常为`root:root`)无文件读取权限 - SELinux/AppArmor安全策略限制访问 4. **网络配置错误** - API Server地址配置错误 - 集群名称不匹配 --- ### 解决方案步骤 #### 步骤1:验证配置文件完整性 ```bash # 检查文件是否存在 ls -l /etc/kubernetes/kubelet.conf # 验证YAML格式 sudo kubelet --check-config ``` - 若输出`invalid configuration`,需重建配置文件 #### 步骤2:重建kubelet.conf(推荐) ```bash # 备份旧配置 sudo mv /etc/kubernetes/kubelet.conf /etc/kubernetes/kubelet.conf.bak # 重新生成配置(替换实际参数) sudo kubeadm init phase kubeconfig kubelet \ --apiserver-advertise-address=<API-SERVER-IP> \ --kubeconfig-dir=/etc/kubernetes ``` #### 步骤3:检查证书状态 ```bash # 查看证书有效期 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates # 更新证书(在控制平面节点执行) kubeadm certs renew all ``` #### 步骤4:验证权限配置 ```bash # 确保权限正确 sudo chown root:root /etc/kubernetes/kubelet.conf sudo chmod 600 /etc/kubernetes/kubelet.conf # 检查SELinux上下文 ls -Z /etc/kubernetes/kubelet.conf ``` #### 步骤5:检查kubelet服务状态 ```bash # 查看详细错误日志 sudo journalctl -u kubelet -n 100 --no-pager # 重启服务 sudo systemctl daemon-reload sudo systemctl restart kubelet ``` > **重要提示**:如果节点曾成功加入集群,重建`kubelet.conf`后通常会自动恢复连接。若持续失败,请检查控制平面的`kube-controller-manager`日志[^1]。 --- ### 相关问题 1. Kubernetes节点加入集群时bootstrap token失效如何处理? 2. 如何诊断kubelet与API Server之间的证书认证问题? 3. kubeadm初始化集群时常见配置文件错误有哪些? 4. Kubernetes节点状态NotReady的可能原因及排查方法?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paopaodog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值