Kubernetes TLS-сертификат Issier не выдает

У меня проблема с тем, что наш Kubernetes не выдает сертификаты для kubelet.

Kubelet отправляет CSR, и кажется, что это одобрено, и на этом этапе должны возникнуть проблемы с сертификатом, но этот шаг, похоже, никогда не выполняется.

Я искал повсюду, но ничего ...

$ kubectl get csr
NAME        AGE       REQUESTOR   CONDITION
csr-52xv4   11m       kubelet     Approved
csr-97rrv   43m       kubelet     Approved
csr-9p8gz   28m       kubelet     Approved
csr-n578g   53m       kubelet     Approved
csr-s76sv   44m       kubelet     Approved
csr-z2xhg   45m       kubelet     Approved

В результате все новые ноды / кублеты вообще не получают сертификаты.

Кажется, это началось без особых изменений в среде, и я не могу найти ни одного журнала, который указывал бы на проблему с выдачей сертификатов.

Кто-нибудь видел такое?

С уважением


kubernetes kubelet ssl certificate
person mironq    schedule 03.07.2018    source источник
comment
предоставьте результаты выполнения команды: kubectl describe csr $ certificate_name   -  person aurelius    schedule 04.07.2018
comment
Проблема решена, и сейчас у меня нет ожидающих выдачи CSR. См. Мой ответ ниже, в чем была причина.   -  person mironq    schedule 11.07.2018

Ответы (1)


arrow_upward
1
arrow_downward

Просто чтобы вы знали, в чем была первоначальная причина проблемы: каким-то образом, и мы до сих пор не знаем, как, содержимое файла, содержащего сертификат на одном из главных узлов (/srv/kubernetes/ca.crt), имело свое контент дублирован. Странно ... Во время устранения неполадок мы протестировали этот сертификат с помощью openssl, который прочитал это без каких-либо проблем и вводил нас в заблуждение, предполагая, что он должен быть в порядке ...

Исправление содержимого вручную немедленно устранило эту проблему.

person mironq    schedule 11.07.2018