3 min read 故障记录

如何解决在初始化kubernetes集群时无法访问gcr.io?

如何解决在初始化kubernetes集群时无法访问gcr.io?

  国内网络比较特殊化,无法直接访问gcr.io,这导致了我们在正常初始化kubernetes集群时会失败--kubernetes在使用kubeadm工具时会自动拉取gcr.io上面的docker镜像。这时我们需要通过一些特殊的手段来解决该问题。

方法一、镜像替换法

顾名思义,就是从别的地方下载集群所需要的docker镜像,然后将这些镜像tag标记成gcr.io镜像,这样在集群初始化时的镜像依赖就可以得到解决。

查看集群环境需要镜像列表

$ sudo kubeadm config images list
k8s.gcr.io/kube-apiserver:v1.13.3
k8s.gcr.io/kube-controller-manager:v1.13.3
k8s.gcr.io/kube-scheduler:v1.13.3
k8s.gcr.io/kube-proxy:v1.13.3
k8s.gcr.io/pause:3.1
k8s.gcr.io/etcd:3.2.24
k8s.gcr.io/coredns:1.2.6

docker.io中下载这些镜像

$ docker pull mirrorgooglecontainers/kube-apiserver:v1.13.3
$ docker pull mirrorgooglecontainers/kube-controller-manager:v1.13.3
$ docker pull mirrorgooglecontainers/kube-scheduler:v1.13.3
$ docker pull mirrorgooglecontainers/kube-proxy:v1.13.3
$ docker pull mirrorgooglecontainers/pause:3.1
$ docker pull mirrorgooglecontainers/etcd:3.2.24
$ docker pull coredns/coredns:1.2.6

使用tag命令将这里镜像前缀改回 gcr.io

$ docker tag mirrorgooglecontainers/kube-apiserver:v1.13.3 k8s.gcr.io/kube-apiserver:v1.13.3
$ docker tag mirrorgooglecontainers/kube-controller-manager:v1.13.3 k8s.gcr.io/kube-controller-manager:v1.13.3
$ docker tag mirrorgooglecontainers/kube-scheduler:v1.13.3 k8s.gcr.io/kube-scheduler:v1.13.3
$ docker tag mirrorgooglecontainers/kube-proxy:v1.13.3 k8s.gcr.io/kube-proxy:v1.13.3
$ docker tag mirrorgooglecontainers/pause:3.1 k8s.gcr.io/pause:3.1
$ docker tag mirrorgooglecontainers/etcd:3.2.24 k8s.gcr.io/etcd:3.2.24
$ docker tag coredns/coredns:1.2.6 k8s.gcr.io/coredns:1.2.6
  • 取消从镜像仓库下载的tag
$ docker rmi mirrorgooglecontainers/kube-apiserver:v1.13.3
$ docker rmi mirrorgooglecontainers/kube-controller-manager:v1.13.3
$ docker rmi mirrorgooglecontainers/kube-scheduler:v1.13.3
$ docker rmi mirrorgooglecontainers/kube-proxy:v1.13.3
$ docker rmi mirrorgooglecontainers/pause:3.1
$ docker rmi coredns/coredns:1.2.6

方法二、使用第三方镜像

  在使用kubeadm工具初始化集群时,可以使用使用--image-repository参数接上第三方镜像地址,比如阿里云镜像是registry.cn-hangzhou.aliyuncs.com/google_containers/
,微软云镜像为gcr.azk8s.cn/google_containers/

$ sudo kubeadm init --pod-network-cidr=10.244.0.0/16 \
                    --service-cidr=10.192.0.0/16 \
                    --apiserver-advertise-address=$(hostname -i) \
                    --node-name=$(hostname -i) \
                    --image-repository=registry.cn-hangzhou.aliyuncs.com/google_containers/

参数

  • --service-dns-domain k8s.local \
  • --apiserver-advertise-address $(hostname -i) \ # API监听的地址,缺省 0.0.0.0
  • --image-repository
  • --pod-network-cidr string
  • --service-cidr 10.64.0.0/16 # 缺省 10.96.0.0/12
  • --node-name 本节点的名称(DNS需要正常能解析,可以使用当前IP)

推荐使用第二种方法,该方法更为简单高效。

参考引用

You might also like...

Nov
10
Kubernetes监控插件-NPD

Kubernetes监控插件-NPD

Node Problem Detector(NPD)是Kubernetes集群中一个重要的监控插件,主要作用是监控节点的健康状况并检测可能出现的问题。如NTP、文件系统损坏、内核死锁、CPU、内存或磁盘损坏、运行时守护进程无响应等。 部署使用chart安装 # helm -n monitoring install node-problem-detector https://dl.
2 min read
Sep
09
Talos Linux体验

Talos Linux体验

简介Talos Linux 是一个为 Kubernetes 环境从头开始设计的安全、最小化且只读的操作系统。它旨在提供一种轻量级、高效且安全的方式来运行 Kubernetes 集群。以下是 Talos Linux 的一些关键特性: 安全性:Talos Linux 采用了多种安全措施,包括只读文件系统和最小化的软件栈,以减少潜在的攻击面。
14 min read
Sep
08
kafka暴露给k8s集群外部访问

kafka暴露给k8s集群外部访问

1 min read
Jul
22
非root用户监听特权端口方案

非root用户监听特权端口方案

背景 特权端口是指1~1023之间的端口,这些区间范围端口通常需要管理员权限才能监听。非管理员权限只能监控特权端口(1024以上的端口)。通常这些是运维岗的常识。 那么,如果我非要使用普通用户监听1024以下的端口,有没有什么奇技淫巧能实现? 那当然。管上。 方案实现 方案1: 使用内核参数举例:用一个普通用户监控80端口 使用root添加内核参数,值是我们需要使用普通用户所监听的端口# sysctl -w
2 min read
Jul
03
解决境外容器镜像无法拉取问题

解决境外容器镜像无法拉取问题

源站替换为cr.l5d.iol5d.m.daocloud.iodocker.elastic.coelastic.m.daocloud.iodocker.iodocker.m.daocloud.iogcr.iogcr.m.daocloud.ioghcr.ioghcr.
1 min read