将工作节点加入集群报错:error execution phase preflight: couldn’t validate the identity of the API Server: abort

运维第一步,先排查网络

master节点和node节点都要排查,我以master为例:

netstat-tunlp

如果命令不存在那么安装命令yum -y install net-tools

①查看是否有6443端口,如果有,证明apiserver服务是启动的,那就不管了

②排查防火墙状态,如果是inactive或者dead,证明防火墙关闭就不管了

systemctl status firewalld

systemctl status iptables

如果是下图这样,就是活跃的,证明防火墙是开的,一定要确保防火墙全部关闭

关闭命令:

systemctl stop firewalld

systemctl disable firewalld

systemctl stop iptables

systemctl disable iptables

③然后在排查selinux

cat /etc/selinux/config

这里如果是enforcing或者permissive都不对,要改成disabled,如果已经是disabled就不用管它,改完后保存退出,最好重启下服务器让配置永久生效。

④然后去node节点 telnet master节点的 6443端口,如果能telnet通,证明网络没有问题,如果不是我下图这样,就是上面那几部,检查防火墙和selinux是否关闭。

如果telnet提示命令不存在,那么就安装一个,安装命令是yum -y install telnet

我截的图是telnet主机名加端口,可以把主机明换成ip,都是没问题的,telnet命令 和ip端口 之间有空格,命令别敲错了。ctrl + c 可以退出命令

⑤以上都没问题,master节点去找加入node节点的命令

kubeadm token create --print-join-command

将终端返回的 kubeadm join XXXXXX --token XXXXXX --discovery-token-ca-cert-hash sha256: XXXXXX

复制到node端执行,当然 XXXXXX 的意思是,master节点生成的值会是变量,你们复制当前自己master节点返回的值即可。

⑥怎么查询token到期时间呢?master节点执行

kubectl  get secret -n kube-system

将查到的name值复制出来,放入已下命令

kubectl  get secret -n kube-system 需要查询的NAME值 -oyaml

kubectl  get secret -n kube-system bootstrap-token-fmvp4g -oyaml

将到期时间的值复制出来,我这里是MjAyNC0wOS0yMFQwMzo1NjozMVo= 这个到期值是变量,大家的肯定和我不一样,复制自己查询出来的值就可以,然后解密,可以得到到期时间

echo '到期值' | base64 --decode

我的就是echo 'MjAyNC0wOS0yMFQwMzo1NjozMVo=' | base64 --decode

到期值过了,删除命令是

kubectl delete secret -n kube-system bootstrap-token-fmvp4g

bootstrap-token-fmvp4g参数是变量,是使用kubectl  get secret -n kube-system查询的NAME,大家根据自己查询出来的操作即可,kubeadm token create --print-join-command 这个命令又可以重新创建token

以上是我个人的总结,肯定有些细节遗漏的地方,大家中途如果出现报错,复制报错在百度搜索,然后一点一点排查,总能成功,希望帮助大家。

### 解决方案 #### Docker 版本不兼容问题 在 Kubernetes 的官方文档中提到,某些特定版本的 Docker 可能存在未经过验证的情况。当前环境中使用的 `Docker version 28.0.2` 并未被验证为与 Kubernetes 兼容[^3]。为了确保稳定性,建议降级至最新已验证的 Docker 版本(如 `20.10.x`)。以下是操作方法: 1. 卸载现有 Docker 版本: ```bash sudo yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine ``` 2. 安装指定版本的 Docker: ```bash sudo yum install -y docker-ce-20.10.* docker-ce-cli-20.10.* containerd.io ``` 3. 启动并设置开机自启: ```bash systemctl start docker && systemctl enable docker ``` 完成上述步骤后,需重启所有节点以使更改生效。 --- #### API Server 身份验证错误解决方案 此问题通常由以下两种原因之一引起:Token 过期或 kube-apiserver 不可达[^4]。针对这两种情况分别提供了解决办法。 ##### Token 过期处理 当工作节点尝试通过过期的 Token 加入主控节点时会触发该错误。可以通过刷新 Token 来解决问题: ```bash kubeadm token create --print-join-command ``` 执行以上命令将在终端打印新的 Join 命令,将其复制并在工作节点上运行即可成功加入集群。 ##### Kube-apiserver 不可达排查 如果确认 Token 正常但仍无法连接,则可能是由于 kube-apiserver 服务异常或者网络配置不当所致。按照以下流程逐一检查: 1. **验证 kube-apiserver 是否正常运行** 使用以下命令查看其状态: ```bash systemctl status kube-apiserver ``` 如果发现停止或崩溃现象,请依据日志定位根本原因并修复。 2. **测试主机间连通性** 利用 curl 工具检测 Master 节点上的 API 地址是否可访问: ```bash curl https://<Master_IP>:6443/version --cacert /etc/kubernetes/pki/ca.crt ``` 若返回 JSON 数据则表明通信无误;反之应进一步分析防火墙规则、证书路径等问题[^2]。 3. **调整 DNS 设置** 确认 `/etc/resolv.conf` 文件中的 nameserver 参数指向合法公共 DNS 或内部解析服务器地址。 --- ### 总结 综上所述,对于 `couldn't validate the identity of the API Server` 错误,优先考虑更新 Token 和核查 kube-apiserver 的可用性。与此同时,务必选用受支持范围内的容器引擎版本来规避潜在冲突风险。 ```python # 示例 Python 脚本用于自动化部分诊断过程 import os def check_api_server(master_ip): command = f"curl https://{master_ip}:6443/version --cacert /etc/kubernetes/pki/ca.crt" result = os.system(command) if result == 0: print("API Server is reachable.") else: print("Failed to connect to API Server.") check_api_server("<Your_Master_IP>") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值