我从v.1.10.3升级到v1.11.5,但是当我尝试在其上获取logs或 helm ls时,它给了我x509: cannot validate certificate for <WORKER_IP> because it doesn't contain any IP SANs错误。kubectl get nodes等其他命令工作正常。
对于升级,我在Web控制台上单击了"升级群集"按钮,并修改了云形式模板,以便工人使用提供的最新AWS AMI(AMI-0A9006FB385703B54)。阅读来自AWS的指南,包括此指南。
我的群集完全不可用,所以我现在用旧的AMI(AMI-0C7A4976CB6FAFD3A)回滚工人节点,并且错误已经消失了。
我真的不确定我错过了什么。有人遇到我的类似问题吗?我需要帮助。
谢谢。
x509是kubernetes中的标记身份验证和授权方式,可能是某种类型的问题与Auth相关。
我在通过 eks> eks> eksctl版本0.30.0 上部署的eks上使用 k8s 1.18 ,当试图在集群中的特定实例上连接到POD时,我也遇到了同样的问题。有这个错误:
2021-01-12T13:41:10.409327444Z Error from server: error dialing backend: x509: cannot validate certificate for 10.000.12.04 because it doesn't contain any IP SANs
我登录了实例:
sudo ls -la /var/lib/kubelet/pki
total 12
drwxr-xr-x 2 root root 124 Jan 10 12:48 .
drwxr-xr-x 8 root root 154 Jan 10 11:38 ..
-rw-r--r-- 1 root root 2173 Jan 10 12:48 kubelet.crt
-rw------- 1 root root 1679 Jan 10 12:48 kubelet.key
-rw------- 1 root root 1232 Jan 10 11:38 kubelet-server-2021-01-10-11-38-05.pem
lrwxrwxrwx 1 root root 59 Jan 10 11:38 kubelet-server-current.pem -> /var/lib/kubelet/pki/kubelet-server-2021-01-10-11-38-05.pem
服务器证书没有使用正确的密钥。
我从创建的原始证书中复制了该实例(kubelet-Server-2021-01-10-11-11-38-05.pem)时创建的原始证书。并且复制的私钥应转到kubelet.key
然后重新启动kubelet:
sudo service kubelet restart
一切正常。
,但我认为最好的方法是将实例从ASG删除,并在可能的情况下创建一个新的实例。