Kubelet - x509: сертификат действителен для 10.233.0.1, а не для <IP>

Question

Я установил свой кластер kubernetes (два узла) с kubespray . Теперь я добавил третий узел. И я получаю сообщение об ошибке от сервера kubelet на новом узле:

Не удалось перечислить * v1.Service: Get https://94.130.25.248:6443/api/v1/services?limit=500&resourceVersion=0: x509: сертификат действителен для 10.233.0.1, 94.130.25.247, 94.130.25.247, 10.233.0.1, 127.0.0.1, 94.130.25.247, 144.76. 14.131, а не 94.130.25.248

IP 94.130.25.248 - это ip нового узла.

Я нашел этот пост , где было написано о воссоздании apicert. Но новая версия kubeadm (v1.13.1) не имеет этой опции.

Также я пытаюсь обновить сертификаты командой:

kubeadm alpha certs renew all --config /etc/kubernetes/kubeadm-config.yaml

Эта команда восстанавливает сертификаты, но с теми же ips и dns.

Мой kubeadmin-config.yml (certSANs):

  certSANs:
  - kubernetes
  - kubernetes.default
  - kubernetes.default.svc
  - kubernetes.default.svc.cluster.local
  - 10.233.0.1
  - localhost
  - 127.0.0.1
  - heku1
  - heku4
  - heku2
  - 94.130.24.247
  - 144.76.14.131
  - 94.130.24.248

Может кто-нибудь сказать мне, как я могу добавить IP к Apicert?

Answer 1

гм ... Я удалил apiserver. * И apiserver-kubelet-client. * И воссоздал это командой:

kubeadm init phase certs apiserver --config=/etc/kubernetes/kubeadm-config.yaml
kubeadm init phase certs apiserver-kubelet-client --config=/etc/kubernetes/kubeadm-config.yaml
systemctl stop kubelet
delete the docker container with kubelet
systemctl restart kubelet