Problemen met knooppunt niet gereed oplossen als er verlopen certificaten zijn

Dit artikel helpt u bij het oplossen van problemen met Node Not Ready-scenario's in een AKS-cluster (Microsoft Azure Kubernetes Service) als er verlopen certificaten zijn.

Voorwaarden

• Azure-CLI
• Het OpenSSL-opdrachtregelprogramma voor het weergeven en ondertekenen van certificaten

Symptomen

U ontdekt dat een AKS-clusterknooppunt de status Niet gereed voor knooppunt heeft.

Oorzaak

Er zijn een of meer verlopen certificaten.

Preventie: OpenSSL uitvoeren om de certificaten te ondertekenen

Controleer de vervaldatums van certificaten door de opdracht openssl-x509 als volgt aan te roepen:

• Voor vm-schaalsetknooppunten gebruikt u de opdracht az vmss run-command invoke :

  az vmss run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-scale-set-name> \
      --command-id RunShellScript \
      --instance-id 0 \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

• Voor VM-beschikbaarheidssetknooppunten gebruikt u de opdracht az vm run-command invoke :

  az vm run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-availability-set-name> \
      --command-id RunShellScript \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

Mogelijk ontvangt u bepaalde foutcodes nadat u deze opdrachten hebt aangeroepen. Zie de volgende koppelingen voor informatie over foutcodes 50, 51 en 52, indien nodig:

• Problemen met de foutcode OutboundConnFailVMExtensionError (50) oplossen
• Problemen met de foutcode K8SAPIServerConnFailVMExtensionError oplossen (51) oplossen
• Problemen met de foutcode K8SAPIServerDNSLookupFailVMExtensionError oplossen (52) oplossen

Als u foutcode 99 ontvangt, geeft dit aan dat de opdracht apt-get-update wordt geblokkeerd voor toegang tot een of meer van de volgende domeinen:

• security.ubuntu.com
• azure.archive.ubuntu.com
• nvidia.github.io

Als u toegang tot deze domeinen wilt toestaan, werkt u de configuratie bij van eventuele blokkerende firewalls, netwerkbeveiligingsgroepen (NSG's) of virtuele netwerkapparaten (NVA's).

Oplossing: De certificaten draaien

U kunt automatische roulatie van certificaten toepassen om certificaten in de knooppunten te roteren voordat ze verlopen. Deze optie vereist geen downtime voor het AKS-cluster.

Als u rekening kunt houden met downtime van clusters, kunt u in plaats daarvan de certificaten handmatig roteren.

Notitie

Vanaf 15 juli 2021 helpt een AKS-clusterupgrade automatisch de clustercertificaten te roteren. Deze gedragswijziging wordt echter niet van kracht voor een verlopen clustercertificaat. Als een upgrade alleen de volgende acties uitvoert, worden de verlopen certificaten niet vernieuwd:

• Een knooppuntinstallatiekopieën bijwerken.
• Voer een upgrade uit van een knooppuntgroep naar dezelfde versie.
• Een knooppuntgroep upgraden naar een recentere versie.

Alleen een volledige upgrade (een upgrade voor zowel het besturingsvlak als de knooppuntgroep) helpt de verlopen certificaten te vernieuwen.

Meer informatie

• Voor algemene stappen voor probleemoplossing raadpleegt u Basisproblemen met fouten die niet gereed zijn voor knooppunten.