Problemen met knooppunt niet gereed oplossen als er verlopen certificaten zijn
Dit artikel helpt u bij het oplossen van problemen met niet-gereed knooppuntscenario's in een Microsoft Azure Kubernetes Service -cluster (AKS) als er verlopen certificaten zijn.
Vereisten
- Azure CLI
- Het OpenSSL-opdrachtregelprogramma voor het weergeven en ondertekenen van certificaten
Symptomen
U ontdekt dat een AKS-clusterknooppunt de status Knooppunt niet gereed heeft.
Oorzaak
Er zijn een of meer verlopen certificaten.
Preventie: OpenSSL uitvoeren om de certificaten te ondertekenen
Controleer de vervaldatums van certificaten door de opdracht openssl-x509 als volgt aan te roepen:
Gebruik voor virtuele-machineschaalsetknooppunten de opdracht az vmss run-command invoke :
az vmss run-command invoke \ --resource-group <resource-group-name> \ --name <vm-scale-set-name> \ --command-id RunShellScript \ --instance-id 0 \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"Gebruik voor VM-beschikbaarheidssetknooppunten de opdracht az vm run-command invoke :
az vm run-command invoke \ --resource-group <resource-group-name> \ --name <vm-availability-set-name> \ --command-id RunShellScript \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
Mogelijk ontvangt u bepaalde foutcodes nadat u deze opdrachten hebt aangeroepen. Zie de volgende koppelingen voor informatie over foutcodes 50, 51 en 52, indien nodig:
- Problemen met de foutcode OutboundConnFailVMExtensionError oplossen (50)
- Problemen met de foutcode K8SAPIServerConnFailVMExtensionError oplossen (51)
- Problemen met de foutcode K8SAPIServerDNSLookupFailVMExtensionError oplossen (52)
Als u foutcode 99 ontvangt, geeft dit aan dat de apt-get-updateopdracht wordt geblokkeerd voor toegang tot een of meer van de volgende domeinen:
- security.ubuntu.com
- azure.archive.ubuntu.com
- nvidia.github.io
Als u toegang tot deze domeinen wilt toestaan, werkt u de configuratie van eventuele blokkerende firewalls, netwerkbeveiligingsgroepen (NSG's) of virtuele netwerkapparaten (NVA's) bij.
Oplossing: De certificaten draaien
U kunt automatische rotatie van certificaten toepassen om certificaten in de knooppunten te draaien voordat ze verlopen. Voor deze optie is geen downtime vereist voor het AKS-cluster.
Als u downtime van clusters kunt instellen, kunt u de certificaten in plaats daarvan handmatig roteren .
Opmerking
Vanaf de release van AKS op 15 juli 2021 helpt een AKS-clusterupgrade automatisch de clustercertificaten te roteren. Deze gedragswijziging wordt echter niet van kracht voor een verlopen clustercertificaat. Als een upgrade alleen de volgende acties uitvoert, worden de verlopen certificaten niet vernieuwd:
- Upgrade een knooppuntinstallatiekopieën.
- Een knooppuntgroep upgraden naar dezelfde versie.
- Een knooppuntgroep upgraden naar een recentere versie.
Alleen een volledige upgrade (een upgrade voor zowel het besturingsvlak als de knooppuntgroep) helpt de verlopen certificaten te vernieuwen.
Meer informatie
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor