k3sup“failed to create kubeconfig”本质是本地写入kubeconfig失败,主因包括:本地~/.kube目录权限不足或不存在;SSH远程sudo无密码免TTY权限;--ip/--server-ip与K3s证书SAN不匹配;KUBECONFIG环境变量干扰。
使用 k3sup 部署 K3s 时出现 "failed to create kubeconfig",通常不是 K3s 启动失败,而是 k3sup 在本地生成或写入 kubeconfig 文件环节出错。问题多集中在权限、路径、SSH 配置和环境变量这几个关键点上。
本地目标目录不可写或父目录不存在
k3sup 默认把生成的 kubeconfig 写入当前用户主目录下的 ~/.kube/config(或指定的 --kubeconfig 路径)。如果该路径所在目录不存在、权限不足,或磁盘已满,就会报这个错。
- 检查路径是否存在:
mkdir -p ~/.kube - 确认写入权限:
ls -ld ~/.kube,确保当前用户有drwxr-xr-x或更宽松的权限 - 避免用
sudo k3sup:它会以 root 身份运行,导致生成的 config 写入/root/.kube/config,而后续kubectl命令仍读取普通用户的~/.kube/config,造成错位
SSH 连接成功但无法执行远程命令(尤其 sudo 权限)
k3sup 需要通过 SSH 登录节点后执行 sudo k3s kubectl 获取集群信息,并拉取 server 的证书与 endpoint。若远程用户无免密 sudo 权限,或 sudo 配置要求 TTY(默认开启),k3sup 就卡在“获取证书”阶段,最终误报为 kubeconfig 创建失败。
- 在目标节点检查:
ssh user@host 'sudo -n k3s kubectl config view --raw > /dev/null',若报错no tty present或sudo: a password is required,说明 sudo 权限配置不满足非交互式调用 - 修复方式:编辑
/etc/sudoers,添加一行(用visudo):user ALL=(ALL) NOPASSWD: /usr/local/bin/k3s - 禁用 requiretty(可选):
Defaults:user !requiretty
指定了错误的 --ip 或 --server-ip,导致证书校验失败
K3s 生成的 server 证书只绑定特定 IP 或域名(如 --tls-san 指定的地址)。若 k3sup 使用的 --ip 与证书中 SAN 不匹配,kubectl 无法安全连接 API Server,k3sup 就会放弃写入 kubeconfig。
- 部署前确认:目标节点能被访问的 IP 是哪个?是内网 IP、公网 IP,还是
localhost?不要直接填127.0.0.1(除非你在节点本机跑 k3sup) - 部署时显式指定可信地址:
k3sup install --ip 192.168.1.100 --server-ip 192.168.1.100 - 如需支持多地址,重装 K3s 并加参数:
--tls-san 192.168.1.100 --tls-san mycluster.local
KUBECONFIG 环境变量干扰或文件被占用
若系统中已设置 KUBECONFIG 环境变量,k3sup 可能尝试写入一个你没权限的路径(比如 /etc/rancher/k3s/k3s.yaml),或与已有进程冲突(如 VS Code Kubernetes 插件正在监听该文件)。
- 临时清空变量再试:
KUBECONFIG= k3sup install ... - 换一个明确路径避开干扰:
k3sup install --kubeconfig ./my-k3s-config - 检查文件是否被锁:
lsof ./my-k3s-config(Linux/macOS)
这个问题表面是“创建失败”,实质是 k3sup 在最后一步验证连接 + 写入配置时断在了某个依赖环节。盯住 SSH 权限、本地路径、IP 匹配、环境变量这四点,基本能覆盖 95% 的场景。
