Не возвращен сертификат с внутреннего Azure AKS-сервера AKS

Question

В недавно созданном кластере AKS у нас возникают проблемы с модулями, настраивающими ресурсы k8s (вызов https://10.0.0.1: 443 / api / v1 / namespaces / kube-system /...). Ошибка при превышении времени ожидания TLS для API. При входе в модуль с использованием OpenSSL я вижу, что с сервера не возвращаются сертификаты.

openssl s_client -connect 10.0.0.1:443
CONNECTED(00000003)

write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 293 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

Мы попытались обновить et c, но безрезультатно. Любые советы о том, как мы можем восстановить эти сертификаты?

Answer 1

Теперь мы решили эту проблему. Для других, сталкивающихся с этой проблемой, это была проблема с брандмауэром. У нас есть Azure брандмауэр в сети, и у нас было ApplicationNetworkRule, разрешающее http и https исходящий трафик c. Правило приложения заблокировало все сертификаты k8s из-за сбоя SNI. Изменение правил FW на сетевое правило на порту 80/443 решило проблему