433
社区成员
发帖
与我相关
我的任务
分享kubectl:服务器出错:当前没有SSH隧道打开
我在Google Container Engine上运行了一些容器.有一天一切都很好,第二天我再也无法连接到我的容器了.或exec,或任何其他docker命令.
我删除了pods并让新的pods实例化,没有帮助.然后我删除了节点并等待创建一个新节点并部署了pod,也没有帮助.
$kubectl attach www-controller-dev-xxxxx
Error from server: No SSH tunnels currently open. Were the targets able to accept an ssh-key for user "gke-xxxxxxxxxxxxxxxxxxxxxxxx"?
我还能尝试什么?
我删除群集并重新创建它后,问题可能已经开始,但我无法确定.之前做过这件事并且从来都不是问题.
...全文
请发表友善的回复…
发表回复
weixin_38078612 2019-09-12
- 打赏
- 举报
像attach这样的命令依赖于集群的主服务器能够与节点通信在群集中.但是,因为master不在同一个Compute中引擎网络作为集群的节点,我们依靠SSH隧道来实现安全通讯.
Container Engine在您的Compute Engine项目中放置SSH公钥metadata.所有计算引擎VM使用Google提供的图片会定期检查其项目的常用元数据和他们的实例的SSH密钥元数据,以添加到VM的列表中授权用户. Container Engine还会为您的Compute添加防火墙规则引擎网络允许从主服务器的IP地址到每个节点的SSH访问在群集中.
如果kubectl attach(或logs,exec和port-forward)不起作用,则可能是因为master无法打开到节点的SSH隧道.至确定潜在的问题是什么,你应该检查这些潜力原因:
>群集没有任何节点.
如果您已将群集中的节点数减少到零,请使用SSH隧道不起作用.
要解决这个问题,resize your cluster至少有一个节点.>群集中的Pod已陷入终止状态并被阻止不再存在的节点不会从群集中删除.
这个问题应该只影响Kubernetes 1.1版,但可以是由于向下和向上重复调整群集的大小.
要解决这个问题,delete the pods已经处于终止状态超过几分钟.然后将从主API的API中删除旧节点并进行替换由新节点.>您的网络的防火墙规则不允许SSH访问主服务器.
所有计算引擎网络都是使用名为的防火墙规则创建的“default-allow-ssh”允许从所有IP地址进行SSH访问(需要当然是一个有效的私钥. Container Engine还会插入SSH规则对于每个形式为“gke — ssh”的集群允许SSH访问专门从集群的主IP到集群的节点.如果这些规则都不存在,那么主人就会无法打开SSH隧道.
要解决这个问题,re-add a firewall rule允许访问具有所有群集节点上的标记的VM主人的IP地址.>您的项目的sshKeys的公共元数据条目已满.
如果项目的名为“sshKeys”的元数据条目接近32KiB大小限制,然后Container Engine无法添加自己的SSH密钥来让它打开SSH隧道.您可以通过运行来查看项目的元数据gcloud compute project-info describe [–project = PROJECT],然后检查sshKeys列表的长度.
要解决这个问题,delete some of the SSH keys不再需要了.>您已在VM中的VM上设置了一个元数据字段,其中包含“sshKeys”键簇.
VM上的节点代理程序更喜欢每个实例的sshKeys到项目范围的SSH密钥,因此,如果您在群集的节点上专门设置了任何SSH密钥,那么项目元数据中的master的SSH密钥不会被节点遵守.要检查,请运行gcloud compute instances describe< VM-name>并寻找元数据中的“sshKeys”字段.
要解决这个问题,delete the per-instance SSH keys来自实例元数据.
值得注意的是,正确的这些功能并不是必需的集群的运作.如果您希望保持群集的网络锁定从所有外部访问,这是完全正常的.请注意这些功能不会起作用.
