华为云UCS-舰队或集群关联权限异常,怎么处理?:排查项三:集群认证信息变化
排查项三:集群认证信息变化
如错误显示“cluster responded with non-successful status: [401][Unauthorized]”,通过观察集群三个Master节点“/var/paas/sys/log/kubernetes/auth-server.log”日志,可能是IAM网络连通故障。请确认IAM域名解析能力,及IAM服务连通性正常。
常见问题日志如下:
- Failed to authenticate token: *******: dial tcp: lookup iam.myhuaweicloud.com on *.*.*.*:53: no such host
此类日志说明,节点缺少对iam.myhuaweicloud.com解析能力,请根据注册本地集群(私网接入),配置对应的域名解析。
- Failed to authenticate token: Get *******: dial tcp *.*.*.*:443: i/o timeout
- currently only supports Agency token
- IAM assumed user has no authorization/iam assumed user should allowed by TEAdmin
- Failed to authenticate token: token expired, please acquire a new token
此类日志说明Token存在过期现象,请使用date命令确定时间是否差距过大,如果节点时间与标准时间差距过大,请同步时间后,查看集群是否恢复。如果长时间未恢复,可能需要重装集群,请联系华为技术人员进行排障。
解决上述问题后,请使用crictl ps | grep auth | awk '{print $1}' | xargs crictl stop命令重启auth-server容器。