解决 Kubernetes 部署 Metrics Server 无法访问 Apiserver 问题

2021-01-01 00:02:00 kubernetes metrics server apiserver

文章目录

系统环境：

部署方式：二进制
Docker 版本：19.03.8
kubernetes 版本：1.20.1
操作系统版本：CentOS 7.8
metrics server 版本：0.4.1

参考地址：

一、问题描述

通过二进制方式部署完成 kubernetes 后，部署 Metrics Server 后，查看日志出现下面错误信息：

1E1231 10:33:31.978715 1 configmap_cafile_content.go:243] key failed with:
2missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"
3E1231 10:34:22.710836 1 configmap_cafile_content.go:243] kube-system/extension-apiserver-authentication failed with:
4missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"
5E1231 10:34:31.978769 1 configmap_cafile_content.go:243] key failed with:
6missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"

根据错误日志信息，可以知道是缺少认证的证书文件，导致不能访问 kube-apiserver 而出现的问题。

二、问题分析

1、查找资料分析原因

经过网上查找搜寻，从一篇博客中 https://www.lingjie.tech/article/2020-11-07/20 找到答案。之所以出现这个错误是因为 kube-apiserver 没有开启 API 聚合功能。所以需要配置 kube-apiserver 参数，开启聚合功能即可。

2、什么是 API 聚合

这里的 API 聚合机制 是 Kubernetes 1.7 版本引入的特性，能够将用户扩展的 API 注册到 kube-apiserver 上，仍然通过 API Server 的 HTTP URL 对新的 API 进行访问和操作。为了实现这个机制，Kubernetes 在 kube-apiserver 服务中引入了一个 API 聚合层（API Aggregation Layer），用于将 扩展 API 的访问请求转发到用户服务的功能。

为了能够将用户自定义的 API 注册到 Master 的 API Server 中，首先需要在 Master 节点所在服务器，配置 kube-apiserver 应用的启动参数来启用 API 聚合 功能，参数如下：

1--runtime-config=api/all=true 
2--requestheader-allowed-names=aggregator 
3--requestheader-group-headers=X-Remote-Group 
4--requestheader-username-headers=X-Remote-User 
5--requestheader-extra-headers-prefix=X-Remote-Extra- 
6--requestheader-client-ca-file=/etc/kubernetes/pki/ca.pem 
7--proxy-client-cert-file=/etc/kubernetes/pki/proxy-client.pem 
8--proxy-client-key-file=/etc/kubernetes/pki/proxy-client-key.pem

如果 kube-apiserver 所在的主机上没有运行 kube-proxy，即无法通过服务的 ClusterIP 进行访问，那么还需要设置以下启动参数：

1--enable-aggregator-routing=true

在设置完成重启 kube-apiserver 服务，就启用 API 聚合 功能了。

1$ systemctl daemon-reload && systemctl restart kube-apiserver

三、解决问题

按照上面的解决问题思路，我们可以开启 API 聚合功能，然后重启 Metrics Server 服务，步骤如下：

1、安装 cfssl 工具

1## 下载三个组件
2$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O cfssl
3$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64  -O cfssljson
4$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64  -O cfssl-certinfo
5
6## 复制到 bin 目录下
7$ chmod +x ./cfssl*
8$ mv ./cfssl* /usr/local/bin/

2、创建 cfssl 配置文件

创建 proxy-client-csr.json 文件：

 1{
 2  "CN": "aggregator",
 3  "hosts": [],
 4  "key": {
 5    "algo": "rsa",
 6    "size": 2048
 7  },
 8  "names": [
 9    {
10      "C": "CN",
11      "ST": "BeiJing",
12      "L": "BeiJing",
13      "O": "system:masters",
14      "OU": "System"
15    }
16  ]
17}

生成证书和秘钥：

1## Master1 执行下面命令生成证书
2$ cfssl gencert \
3  -profile=kubernetes \
4  -ca=/etc/kubernetes/pki/ca.pem \
5  -ca-key=/etc/kubernetes/pki/ca-key.pem \
6  proxy-client-csr.json

查看生产的证书：

1$ ls -l
2
3-rw-r--r-- 1 root root 1017 12月 31 11:20 proxy-client.csr
4-rw-r--r-- 1 root root  236 12月 31 11:07 proxy-client-csr.json
5-rw------- 1 root root 1675 12月 31 11:20 proxy-client-key.pem
6-rw-r--r-- 1 root root 1411 12月 31 11:20 proxy-client.pem

将证书访问指定的目录下，这里我将其放到 /etc/kubernetes/pki 下：

1$ cp * /etc/kubernetes/pki/

复制到其它 Master 节点服务器中：

1## 复制到 Master2
2$ scp * 192.168.2.11:/etc/kubernetes/pki/
3## 复制到 Master3
4$ scp * 192.168.2.12:/etc/kubernetes/pki/

3、修改 kube-apiserver 参数

修改三个 Master 节点中全部 kube-apiserver 配置参数：

 1vi /etc/kubernetes/manifests/kube-apiserver.yaml
 2...
 3--runtime-config=api/all=true \
 4--requestheader-allowed-names=aggregator \
 5--requestheader-group-headers=X-Remote-Group \
 6--requestheader-username-headers=X-Remote-User \
 7--requestheader-extra-headers-prefix=X-Remote-Extra- \
 8--requestheader-client-ca-file=/etc/kubernetes/pki/ca.pem \
 9--proxy-client-cert-file=/etc/kubernetes/pki/proxy-client.pem \
10--proxy-client-key-file=/etc/kubernetes/pki/proxy-client-key.pem \
11...

参数说明：

--requestheader-client-ca-file： 客户端CA证书。
--requestheader-allowed-names： 允许访问的客户端 common names 列表，通过 header 中 --requestheader-username-headers 参数指定的字段获取。客户端 common names 的名称需要在 client-ca-file 中进行设置，将其设置为空值时，表示任意客户端都可访问。
--requestheader-username-headers： 参数指定的字段获取。
--requestheader-extra-headers-prefix： 请求头中需要检查的前缀名。
--requestheader-group-headers 请求头中需要检查的组名。
--requestheader-username-headers 请求头中需要检查的用户名。
--proxy-client-cert-file： 在请求期间验证Aggregator的客户端CA证书。
--proxy-client-key-file： 在请求期间验证Aggregator的客户端私钥。
--requestheader-allowed-names： 允许访问的客户端 common names 列表，通过 header 中 --requestheader-username-headers 参数指定的字段获取。客户端 common names 的名称需要在 client-ca-file 中进行设置，将其设置为空值时，表示任意客户端都可访问。

4、重启 kube-apiserver 组件

重启三个 Master 服务器中全部 kube-apiserver 组件：

1$ systemctl daemon-reload && systemctl restart kube-apiserver

5、重启 Metrics Server 应用

查看已有的 metrics server 的 pod：

1$ kubectl get pods -n kube-system | grep metrics-server
2
3metrics-server-7455879dcc-w9dw7   1/1   Running   0   1d

删掉已有的 metrics server 的 pod，使其重新生成新的 pod 资源：

1$ kubectl delete pods metrics-server-7455879dcc-w9dw7 -n kube-system

6、输入命令进行验证

等一段时间，然后输入下面命令进行测试：

1$ kubectl top node
2NAME                    CPU(cores)   CPU%   MEMORY(bytes)   MEMORY%
3k8s-master-10     300m         3%     4788Mi          30%
4k8s-master-11     800m         5%     5218Mi          31%
5k8s-master-12     500m         4%     4900Mi          31%
6k8s-woker-021     81m          1%     2930Mi          9%
7k8s-woker-022     61m          0%     1658Mi          5%
8k8s-woker-023     62m          0%     6061Mi          22%

可以观察到命令已经可以正常使用。

---END---