kube-apiserver拒绝生成的serviceaccount令牌

Question

我有一个成功工作的集群，没有任何问题，我已经尝试制作了一个副本。它基本上正常工作，除了一个问题-由apiserver生成的令牌无效，并显示错误消息：

6 handlers.go:37] Unable to authenticate the request due to an error: crypto/rsa: verification error

我使用以下参数启动了api服务器：

kube-apiserver --address=0.0.0.0    --admission_control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota --service-cluster-ip-range=10.116.0.0/23 --client_ca_file=/srv/kubernetes/ca.crt --basic_auth_file=/srv/kubernetes/basic_auth.csv --authorization-mode=AlwaysAllow  --tls_cert_file=/srv/kubernetes/server.cert --tls_private_key_file=/srv/kubernetes/server.key --secure_port=6443 --token_auth_file=/srv/kubernetes/known_tokens.csv  --v=2 --cors_allowed_origins=.* --etcd-config=/etc/kubernetes/etcd.config --allow_privileged=False

我想我错过了一些东西，但找不到确切的东西，任何帮助都将不胜感激！

Answer 1

因此，控制器管理器使用的server.key显然是错误的。根据kubernetes documentation协议，令牌由控制器管理器生成。

当我在复制我所有的配置时，我不得不更改I地址，也因此不得不更改证书。但是控制器-管理器一开始使用的是“旧的”证书，并且在更改后创建了错误的密钥，因为server.key。

Answer 2

你可以在下面看到api服务器的标志，它适用于我。看看这个。

--insecure-bind-address=${OS_PRIVATE_IPV4} 
--bind-address=${OS_PRIVATE_IPV4} 
--tls-cert-file=/srv/kubernetes/server.cert 
--tls-private-key-file=/srv/kubernetes/server.key 
--client-ca-file=/srv/kubernetes/ca.crt 
--admission_control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ResourceQuota 
--token-auth-file=/srv/kubernetes/known_tokens.csv 
--basic-auth-file=/srv/kubernetes/basic_auth.csv 
--etcd_servers=http://${OS_PRIVATE_IPV4}:4001 
--service-cluster-ip-range=10.10.0.0/16 
--logtostderr=true 
--v=5