Сертификат Kubernetes TLS не выдан

Question

У меня проблема с нашими Kubernetes, не выдающими сертификаты для kubelet.

Kubelet отправляет CSR, и это, кажется, получает одобрение, и на данный момент сертификат должен быть проблемным, но этот шаг никогда не выполняется.

Я искал повсюду, но ничего ...

$ kubectl get csr
NAME        AGE       REQUESTOR   CONDITION
csr-52xv4   11m       kubelet     Approved
csr-97rrv   43m       kubelet     Approved
csr-9p8gz   28m       kubelet     Approved
csr-n578g   53m       kubelet     Approved
csr-s76sv   44m       kubelet     Approved
csr-z2xhg   45m       kubelet     Approved

В результате все новые узлы / кублеты вообще не получают сертификат.

Это, похоже, началось без каких-либо особых изменений в среде, и я не могу найти ни одного журнала, который указывал бы на проблему с выдачей сертификатов.

Кто-нибудь когда-нибудь видел это?

С уважением

Answer 1

Просто для того, чтобы вы знали, какова была первоначальная причина проблемы: каким-то образом, а мы до сих пор не знаем как, содержимое файла, содержащего сертификат на одном из главных узлов (/srv/kubernetes/ca.crt ) дублировал его содержание. Странно ... Во время устранения неполадок мы проверили этот сертификат с помощью openssl, который прочитал это без каких-либо проблем и вводит нас в заблуждение, предполагая, что все должно быть в порядке ...

Исправление содержимого вручную немедленно решило эту проблему.