Skip to Content
集群管理集群常见问题

集群常见问题

1. 集群详情页提示ApiServer自签https证书过期

过期的是什么证书

apiserver-loopback-client 证书, 用于 kube-schedulerkube-controller-manager 等管理组件和 kube-apiserver 之间的同节点通信。证书过期会影响管理组件之间的通信,可能导致无法正常创建Pod等问题。

可参考k8s社区官方对这个问题的解释

如何查看证书

apiserver-loopback-client 存放于 kube-apiserver 的内存中,在服务启动时自动生成,没有写入到文件中。查看证书的方法如下:

登录master节点执行

curl --resolve apiserver-loopback-client:6443:127.0.0.1 -k -v https://apiserver-loopback-client:6443 2>&1| grep -i  'server certificate' -A5

如何解决

逐一登录master节点,重启kube-apiserver服务(systemctl restart kube-apiserver),重启不会影响线上业务,需注意点:

  1. 重启期间不能有业务发布变更等操作
  2. 逐一执行重启,不可两台及以上master同时重启。

托管版UK8S用户无法自行重启apiserver, 请联系UK8S团队

集群版本升级集群节点配置推荐