Calicoctl отклоняет сертификат при новой установке k3s
У меня есть свежая установка Ubuntu, свежая установка k3s и свежая загрузка calicoctl. Я установил ее следующим образом.
curl -sfL https://get.k3s.io | K3S_KUBECONFIG_MODE="644"\
INSTALL_K3S_EXEC="--flannel-backend=none --cluster-cidr=192.168.0.0/16\
--disable-network-policy --disable=traefik" sh -
kubectl create -f https://docs.projectcalico.org/manifests/tigera-operator.yaml
kubectl create -f https://docs.projectcalico.org/manifests/custom-resources.yaml
curl -o calicoctl -O -L "https://github.com/projectcalico/calicoctl/releases/download/v3.20.2/calicoctl"
Когда я запускаю kubectl, все работает нормально.Когда я запускаю calicoctl, я получаю ошибки сертификата.
# calicoctl apply -f V000_000-host-policy.yaml
Unable to get Cluster Information to verify version mismatch: Get "https://127.0.0.1:6443/apis/crd.projectcalico.org/v1/clusterinformations/default": x509: certificate signed by unknown authority
Use --allow-version-mismatch to override.
Я скопировал request-header-ca.crt, client-ca.crtи server -ca.crtсертификаты из /var/lib/rancher/k3s/server/tlsв /usr/local/share/ca-certificatesи применил их с update-ca-certificates. Я могу подтвердить, что сертификаты перечислены в /etc/ssl/certs/ca-certificates.crt.
Кроме того, мой ~/.kube/configимеет следующее содержимое (я делаю регулярные переустановки, ничего из этого не является конфиденциальным, надеюсь, поправьте меня, если я ошибаюсь)
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: LS0t...LS0K
server: https://127.0.0.1:6443
name: default
contexts:
- context:
cluster: default
user: default
name: default
current-context: default
kind: Config
preferences: {}
users:
- name: default
user:
client-certificate-data: LS0t...LS0K
client-key-data: LS0t...LQo=
И у меня есть следующая конфигурация в /etc/ cni/net.d/calico-kubeconfig
# Kubeconfig file for Calico CNI plugin. Installed by calico/node.
apiVersion: v1
kind: Config
clusters:
- name: local
cluster:
server: https://10.43.0.1:443
certificate-authority-data: "LS0t...tLS0K"
users:
- name: calico
user:
token: eyJhb...tk4Q
contexts:
- name: calico-context
context:
cluster: local
user: calico
current-context: calico-context
Я изменил адрес в calico-kubeconfig с 10.43.0.1:443на 127.0.0.1:6443, но это ничего не изменило .
Кто-нибудь знает, как это обойти? Является ли ошибка сертификата, которую я вижу, следствием CA или токенов? Curl по тому же адресу также жалуется на CA, поэтому я думаю, что это не связано с токеном.
У меня похожая установка (, за исключением k3sработающий внутри непривилегированного контейнера Ubuntu LXD)с k3s.serviceначал использовать:
ExecStart=/usr/local/bin/k3s \
server --snapshotter=native \
--kubelet-arg=feature-gates=KubeletInUserNamespace=true \
--kube-controller-manager-arg=feature-gates=KubeletInUserNamespace=true \
--kube-apiserver-arg=feature-gates=KubeletInUserNamespace=true,RemoveSelfLink=false \
--disable=servicelb --disable=traefik --flannel-backend=none --disable-network-policy \
--cluster-cidr=192.168.0.0/16 --cluster-init
мне не нужно было копировать какие-либо сертификаты -достаточно было просто:
ln -s /etc/rancher/k3s/k3s.yaml ~/.kube/config
благодаря первому ответу для подсказки.
Это также указано в установке нескольких узлов k3s -.
