Устранение неполадок с ошибками узла, не готовых при наличии сертификатов с истекшим сроком действия

В этой статье показано, как устранить проблемы с сценариями с не готовыми узлами в кластере Microsoft Служба Azure Kubernetes (AKS), если истек срок действия сертификатов.

Предварительные требования

• Azure CLI
• Средство командной строки OpenSSL для отображения и подписывания сертификатов

Симптомы

Вы обнаружите, что узел кластера AKS находится в состоянии "Не готово к узлу".

Причина

Существует один или несколько сертификатов с истекшим сроком действия.

Предотвращение. Запуск OpenSSL для подписывания сертификатов

Проверьте срок действия сертификатов, вызвав команду opensl-x509 следующим образом:

• Для узлов масштабируемого набора виртуальных машин используйте команду az vmss run-command invoke :

  az vmss run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-scale-set-name> \
      --command-id RunShellScript \
      --instance-id 0 \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

• Для узлов группы доступности виртуальных машин используйте команду az vm run-command invoke :

  az vm run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-availability-set-name> \
      --command-id RunShellScript \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

После вызова этих команд могут появиться определенные коды ошибок. Сведения о кодах ошибок 50, 51 и 52 см. по следующим ссылкам:

• Устранение неполадок с кодом ошибки OutboundConnFailVMExtensionError (50)
• Устранение неполадок с кодом ошибки K8SAPIServerConnFailVMExtensionError (51)
• Устранение неполадок с кодом ошибки K8SAPIServerDNSLookupFailVMExtensionError (52)

Если вы получаете код ошибки 99, это означает, что команда apt-get update заблокирована для доступа к одному или нескольким из следующих доменов:

• security.ubuntu.com
• azure.archive.ubuntu.com
• nvidia.github.io

Чтобы разрешить доступ к этим доменам, обновите настройки всех блокирующих брандмауэров, групп безопасности сети (NSG) или виртуальных сетевых модулей (NVA).

Решение. Смена сертификатов

Вы можете применить автоматическое поворот сертификата для смены сертификатов на узлах до истечения срока их действия. Этот параметр не требует простоя для кластера AKS.

Если вы можете разместить время простоя кластера, вместо этого можно повернуть сертификаты вручную.

Примечание.

Начиная с 15 июля 2021 г. выпуск AKS, обновление кластера AKS автоматически помогает сменить сертификаты кластера. Однако это изменение поведения не вступают в силу для сертификата кластера с истекшим сроком действия. Если обновление выполняет только следующие действия, срок действия сертификатов с истекшим сроком действия не будет продлен.

• Обновление образа узла.
• Обновите пул узлов до той же версии.
• Обновите пул узлов до более последней версии.

Только полное обновление (т. е. обновление для плоскости управления и пула узлов) помогает продлить срок действия сертификатов.

Дополнительная информация

• Общие инструкции по устранению неполадок см. в разделе "Базовый" по устранению неполадок с ошибками node Not Ready.