înregistrare Logare
Puncte:0
Sara June avatar Server

Cum se instalează Consul pe azure kubernetes cu politicile activate?

drapel cn
Sara June

Am instalat azure kubernetes cu politica azure activată. Am urmat pașii din ghidul introductiv al consulului așa cum este: legătură

Dar când consulul este desfășurat, păstăile nu sunt desfășurate.

Când am verificat replicasetul, eroarea este ca mai jos.

Evenimente:
  Introduceți Motivul Vârsta din mesaj
  ---- ------ ---- ---- -------
  Avertisment FailedCreate 23s (x17 over 6m20s) replicaset-controller Eroare la crearea: admiterea webhook „validation.gatekeeper.sh” a refuzat cererea: [azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da]

Cum să remediez asta?

Pașii detaliați cu rezultat.

D:\consul_azure>git clone https://github.com/hashicorp/learn-consul-kubernetes.git
Clonarea în „learn-consul-kubernetes”...
remote: Enumerarea obiectelor: 504, terminat.
la distanță: Numărarea obiectelor: 100% (504/504), gata.
la distanță: Comprimarea obiectelor: 100% (325/325), gata.
telecomandă: Total 504 (delta 260), reutilizat 354 (delta 154), pachet reutilizat 0
Recepție obiecte: 100% (504/504), 87,91 KiB | 173.00 KiB/s, gata.
Rezolvarea deltelor: 100% (260/260), gata.

D:\consul_azure>cd learn-consul-kubernetes/service-mesh/deploy

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>helm repo add hashicorp https://helm.releases.hashicorp.com
„hashicorp” există deja cu aceeași configurație, sărind peste

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>actualizare helm repo
Stați bine în timp ce luăm cele mai recente din arhivele dvs. de diagrame...
...A primit cu succes o actualizare din depozitul de diagrame „aad-pod-identity”.
...Am primit cu succes o actualizare din depozitul de diagrame „secrets-store-csi-driver”
...Am primit cu succes o actualizare din depozitul de diagrame „csi-secrets-store-provider-azure”
...Am primit cu succes o actualizare din depozitul de diagrame „hashicorp”.
...Am primit cu succes o actualizare din depozitul de diagrame „spv-charts”.
...Am primit cu succes o actualizare din depozitul de diagrame „stabil”.
Actualizare finalizată. âFericiţi Helming!â

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>helm install -f config.yaml consul hashicorp/consul --version „0.32.1”
NUME: consul
ULTIMA DESFLOARE: Luni, 16 august 12:36:55 2021
NAMESPACE: implicit
STARE: implementat
REVIZIUNE: 1
NOTE:
Vă mulțumim pentru instalarea HashiCorp Consul!

Acum că ați instalat Consul, ar trebui să vă uitați peste documentele despre utilizare
Consul cu Kubernetes disponibil aici:

https://www.consul.io/docs/platform/k8s/index.html


Eliberarea ta este numită consul.

Pentru a afla mai multe despre ediție, rulați:

  $ helm statut consul
  $ helm a lua tot consul

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>helm status consul
NUME: consul
ULTIMA DESFLOARE: Luni, 16 august 12:36:55 2021
NAMESPACE: implicit
STARE: implementat
REVIZIUNE: 1
NOTE:
Vă mulțumim pentru instalarea HashiCorp Consul!

Acum că ați instalat Consul, ar trebui să vă uitați peste documentele despre utilizare
Consul cu Kubernetes disponibil aici:

https://www.consul.io/docs/platform/k8s/index.html


Eliberarea ta este numită consul.

Pentru a afla mai multe despre ediție, rulați:

  $ helm statut consul
  $ helm a lua tot consul

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl get pods --selector app=consul
Nu s-au găsit resurse în spațiul de nume implicit.

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl get pods
Nu s-au găsit resurse în spațiul de nume implicit.

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl get deploy
NUME GATA ACTUALIZAT VÂRSTA DISPONIBILĂ
consul-connect-injector-webhook-deployment 0/2 0 0 4m53s
consul-controler 0/1 0 0 4m53s
consul-webhook-cert-manager 0/1 0 0 4m53s
prometheus-server 0/1 0 0 4m53s

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl describe deploy consul-controller
Nume: consul-controlor
Spațiu de nume: implicit
CreationTimestamp: Luni, 16 Aug 2021 12:37:25 +0530
Etichete: app=consul
                        app.kubernetes.io/managed-by=Helm
                        chart=consul-helm
                        component=controller
                        heritage=Hem
                        eliberare=consul
Adnotări: deployment.kubernetes.io/revision: 1
                        meta.helm.sh/release-name: consul
                        meta.helm.sh/release-namespace: implicit
Selector: app=consul,chart=consul-helm,component=controller,heritage=Helm,release=consul
Replica: 1 dorit | 0 actualizat | 0 total | 0 disponibil | 1 indisponibil
StrategyType: RollingUpdate
MinReadySeconds: 0
RollingUpdateStrategy: 25% maxim indisponibil, 25% maxim maxim
Șablon de pod:
  Etichete: app=consul
                    chart=consul-helm
                    component=controller
                    heritage=Hem
                    eliberare=consul
  Adnotări: consul.hashicorp.com/connect-inject: false
  Cont de serviciu: consul-controlor
  Containere:
   controlor:
    Imagine: hashicorp/consul-k8s:0.26.0
    Port: 9443/TCP
    Port gazdă: 0/TCP
    Comanda:
      /bin/sh
      -ec
      controler consul-k8s \
        -webhook-tls-cert-dir=/tmp/controller-webhook/certs \
        -datacenter=dc1 \
        -enable-leader-election \
        -log-level="info" \

    Limite:
      CPU: 100 m
      memorie: 50 Mi
    Cereri:
      CPU: 100 m
      memorie: 50 Mi
    Mediu inconjurator:
      HOST_IP: (v1:status.hostIP)
      CONSUL_HTTP_ADDR: http://$(HOST_IP):8500
    Suporturi:
      /tmp/controller-webhook/certs din cert (ro)
  Volume:
   certificat:
    Tip: Secret (un volum populat de un Secret)
    SecretName: consul-controller-webhook-cert
    Opțional: fals
Conditii:
  Tastați Motivul stării
  ---- ------ ------
  Progresează True NewReplicaSetCreated
  Disponibil False MinimumReplicasUnavailable
  ReplicaFailure True FailedCreate
OldReplicaSets: <niciunul>
NewReplicaSet: consul-controller-dff49c9f4 (create replici 0/1)
Evenimente:
  Introduceți Motivul Vârsta din mesaj
  ---- ------ ---- ---- -------
  Normal ScalingReplicaSet 5m9s deployment-controller Setul de replică mărit consul-controller-dff49c9f4 la 1

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl get rs consul-controller-dff49c9f4
NUME VÂRSTA ACTUALĂ GATA DEZIRATĂ
consul-controller-dff49c9f4 1 0 0 5m30s

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl logs consul-controller-dff49c9f4
Eroare de la server (Negăsită): podurile „consul-controller-dff49c9f4” nu au fost găsite

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl logs rs/consul-controller-dff49c9f4
eroare: a expirat în așteptarea condiției

D:\consul_azure\learn-consul-kubernetes\service-mesh\deploy>kubectl describe rs/consul-controller-dff49c9f4
Nume: consul-controller-dff49c9f4
Spațiu de nume: implicit
Selector: app=consul,chart=consul-helm,component=controller,heritage=Helm,pod-template-hash=dff49c9f4,release=consul
Etichete: app=consul
                chart=consul-helm
                component=controller
                heritage=Hem
                pod-template-hash=dff49c9f4
                eliberare=consul
Adnotări: deployment.kubernetes.io/desired-replicas: 1
                deployment.kubernetes.io/max-replicas: 2
                deployment.kubernetes.io/revision: 1
                meta.helm.sh/release-name: consul
                meta.helm.sh/release-namespace: implicit
Controlat de: Deployment/consul-controller
Replica: 0 curent / 1 dorit
Stare pod-uri: 0 În rulare / 0 În așteptare / 0 Reușit / 0 Eșuat
Șablon de pod:
  Etichete: app=consul
                    chart=consul-helm
                    component=controller
                    heritage=Hem
                    pod-template-hash=dff49c9f4
                    eliberare=consul
  Adnotări: consul.hashicorp.com/connect-inject: false
  Cont de serviciu: consul-controlor
  Containere:
   controlor:
    Imagine: hashicorp/consul-k8s:0.26.0
    Port: 9443/TCP
    Port gazdă: 0/TCP
    Comanda:
      /bin/sh
      -ec
      controler consul-k8s \
        -webhook-tls-cert-dir=/tmp/controller-webhook/certs \
        -datacenter=dc1 \
        -enable-leader-election \
        -log-level="info" \

    Limite:
      CPU: 100 m
      memorie: 50 Mi
    Cereri:
      CPU: 100 m
      memorie: 50 Mi
    Mediu inconjurator:
      HOST_IP: (v1:status.hostIP)
      CONSUL_HTTP_ADDR: http://$(HOST_IP):8500
    Suporturi:
      /tmp/controller-webhook/certs din cert (ro)
  Volume:
   certificat:
    Tip: Secret (un volum populat de un Secret)
    SecretName: consul-controller-webhook-cert
    Opțional: fals
Conditii:
  Tastați Motivul stării
  ---- ------ ------
  ReplicaFailure True FailedCreate
Evenimente:
  Introduceți Motivul Vârsta din mesaj
  ---- ------ ---- ---- -------
  Avertisment FailedCreate 23s (x17 over 6m20s) replicaset-controller Eroare la crearea: admiterea webhook „validation.gatekeeper.sh” a refuzat cererea: [azurepolicy-psp-container-no-privilege-esc-30132221bc21e5b724da]
114
0 + 3
aks
drapel in
Blake Covarrubias
Se pare că vă confruntați cu aceeași problemă descrisă în https://github.com/hashicorp/consul-k8s/issues/635. Consul 1.10 necesită capabilități NET_ADMIN pentru a utiliza proxy transparent. Recomand să partajați detalii suplimentare despre acea problemă GH, astfel încât echipa noastră să poată depana și rezolva mai bine această problemă. Mulțumiri.
0
Răspunde
Sara June avatar
drapel cn
Sara June
Mulțumesc Blake pentru link, dar nu există nicio soluție oferită pe acel link
0
Răspunde
drapel in
Blake Covarrubias
Bună Sara, este o problemă la urmărirea raportului de eroare. Am sugerat în comentariul meu anterior să îl folosiți pentru a oferi mai multe informații echipei Consul, astfel încât să poată investiga acest lucru.
0
Răspunde
Puncte:1
Srijit_Bose-MSFT avatar Server
drapel us
Srijit_Bose-MSFT

Până când Consul renunță la escaladarea privilegiilor, ca o soluție, la pasul 9 la Atribuiți o definiție de politică, pentru a exclude spațiile de nume Kubernetes din evaluarea politicii, specificați lista de spații de nume în parametrul Excluderi de spații de nume. Se recomandă excluderea: sistem-kube, sistem-portar, și azur-arc.

În special, pentru Clusterele Kubernetes nu ar trebui să permită escaladarea privilegiilor containerului poti seta parametrii pentru Excluderi de spații de nume și Excluderi de containere, adăugând spațiul de nume consul și/sau containere.

In conformitate cu Definirea politicii:

„parametri”: {
...
„excludedNamspaces”: {
        "type": "Matrice",
        „metadate”: {
          "displayName": "Excluderi de spații de nume",
          "description": "Lista de spații de nume Kubernetes de exclus din evaluarea politicii."
        },
        "valoare implicită": [
          "sistem-kube",
          "sistem-gatekeeper",
          "arc azuriu"
        ]
      },
...
„excludedContainers”: {
        "type": "Matrice",
        „metadate”: {
          "displayName": "Excluderi containere",
          "description": "Lista de InitContainers și Containers de exclus din evaluarea politicii. Identificarea este numele containerului. Utilizați o listă goală pentru a aplica această politică tuturor containerelor din toate spațiile de nume."
        },
        "valoare implicită": []
      },
...
}
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.