hongming https://github.com/kubernetes/apiserver/blob/v0.17.4/pkg/endpoints/filters/authentication.go#L104 huangjingui 你这个是 kube-apiserver 的日志吧,这个是正常的错误提示,可能是某个组件使用了错误的token ,具体是遇到了什么问题呢
hongming huangjingui 你得先描述一下你发现的问题,哪个pod异常,进行了哪些操作,受到了什么影响。大家时间都很宝贵,你描述的越详细我们才能更好的帮助到你。目前从你贴出的日志上看, 就是kube-apiserver 收到了错误的请求(没有带上正确的 token), 这并不会影响到你的集群
huangjingui hongming 是的, 不影响到咱们这边的集群, 但是我上面的领导要求我们彻底解决这个异常. 因为咱们这边只有使用到kubesphere相关的组件, 所以怀疑是组件使用了错误的token. 咱们这边对每个组件异常都有对应的sre评分标准,大哥别难为小弟我啊. 能不能帮忙解决下
hongming huangjingui 别着急,问题现在已经定位到代码了https://github.com/kubernetes/apiserver/blob/v0.17.4/pkg/endpoints/filters/authentication.go#L104,kubesphere 中会向 kube-apiserver 发送请求的几个 pod 有 ks-apiserver, ks-controller-mananger ,都是直接使用的 serviceaccount ,不应该会出现 invalid token (排查也很简单,如果 kubesphere 使用了 错误的 token ,kubesphere-system 下的 pod 的日志中也会有相关的错误) ,除 kubesphere 之外其他的组件或者进程都有可能会直接请求 kube-apiserver ,这得你稍加定位, 可以抓包看看, 直接使用 serviceaccount 的 pod 一般不会引起这个错误,(你需要检查一下https://kubernetes.io/docs/reference/access-authn-authz/authentication/ 是否启用了 service-account-lookup serviceaccount 被删除后token无法继续使用)
