Rozwiązywanie problemów z błędami Węzła Nie gotowe, jeśli certyfikaty wygasły

W tym artykule opisano rozwiązywanie problemów ze scenariuszami Węzła, które nie są gotowe w klastrze usługi Microsoft Azure Kubernetes Service (AKS), jeśli istnieją wygasłe certyfikaty.

Wymagania wstępne

• Interfejs wiersza polecenia platformy Azure
• Narzędzie wiersza polecenia openSSL do wyświetlania i podpisywania certyfikatu

Symptomy

Zostanie wykryty, że węzeł klastra usługi AKS jest w stanie Nie wszystko gotowe.

Przyczyna

Istnieje co najmniej jeden wygasły certyfikat.

Zapobieganie: uruchom program OpenSSL, aby podpisać certyfikaty

Sprawdź daty wygaśnięcia certyfikatów, wywołując polecenie openssl-x509 w następujący sposób:

• W przypadku węzłów zestawu skalowania maszyn wirtualnych użyj polecenia az vmss run-command invoke :

  az vmss run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-scale-set-name> \
      --command-id RunShellScript \
      --instance-id 0 \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

• W przypadku węzłów zestawu dostępności maszyn wirtualnych użyj polecenia az vm run-command invoke :

  az vm run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-availability-set-name> \
      --command-id RunShellScript \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

Po wywołaniu tych poleceń mogą pojawić się pewne kody błędów. Aby uzyskać informacje o kodach błędów 50, 51 i 52, zobacz następujące linki, w razie potrzeby:

• Rozwiązywanie problemów z kodem błędu OutboundConnFailVMExtensionError (50)
• Rozwiązywanie problemów z kodem błędu K8SAPIServerConnFailVMExtensionError (51)
• Rozwiązywanie problemów z kodem błędu K8SAPIServerDNSLookupFailVMExtensionError (52)

Jeśli zostanie wyświetlony kod błędu 99, oznacza to, że polecenie apt-get update jest blokowane w dostępie do co najmniej jednej z następujących domen:

• security.ubuntu.com
• azure.archive.ubuntu.com
• nvidia.github.io

Aby zezwolić na dostęp do tych domen, zaktualizuj konfigurację wszelkich blokujących zapór, sieciowych grup zabezpieczeń (NSG) lub wirtualnych urządzeń sieciowych (WUS).

Rozwiązanie: Obracanie certyfikatów

Automatyczne obracanie certyfikatów można zastosować w celu rotacji certyfikatów w węzłach przed ich wygaśnięciem. Ta opcja nie wymaga przestoju dla klastra usługi AKS.

Jeśli możesz uwzględnić przestój klastra, możesz ręcznie obrócić certyfikaty .

Uwaga 16.

Począwszy od wersji 15 lipca 2021 r. usługi AKS, uaktualnienie klastra usługi AKS automatycznie pomaga w rotacji certyfikatów klastra. Jednak ta zmiana zachowania nie ma zastosowania dla wygasłego certyfikatu klastra. Jeśli uaktualnienie wykonuje tylko następujące akcje, wygasłe certyfikaty nie zostaną odnowione:

• Uaktualnij obraz węzła.
• Uaktualnij pulę węzłów do tej samej wersji.
• Uaktualnij pulę węzłów do nowszej wersji.

Tylko pełne uaktualnienie (czyli uaktualnienie zarówno płaszczyzny sterowania, jak i puli węzłów) pomaga odnowić wygasłe certyfikaty.

Więcej informacji

• Ogólne kroki rozwiązywania problemów można znaleźć w temacie Podstawowe rozwiązywanie problemów z błędami Brak gotowości węzła.