Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как устранить проблемы с сценариями с не готовыми узлами в кластере Microsoft Служба Azure Kubernetes (AKS), если истек срок действия сертификатов.
Предварительные требования
- Azure CLI
- Средство командной строки OpenSSL для отображения и подписывания сертификатов
Симптомы
Вы обнаруживаете, что узел кластера AKS находится в состоянии "Node Not Ready".
Причина
Существует один или несколько сертификатов с истекшим сроком действия.
Предотвращение. Запуск OpenSSL для подписывания сертификатов
Проверьте срок действия сертификатов, вызвав команду opensl-x509 следующим образом:
Для узлов масштабируемого набора виртуальных машин используйте команду az vmss run-command invoke :
az vmss run-command invoke \ --resource-group <resource-group-name> \ --name <vm-scale-set-name> \ --command-id RunShellScript \ --instance-id 0 \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"Для узлов группы доступности виртуальных машин используйте команду az vm run-command invoke :
az vm run-command invoke \ --resource-group <resource-group-name> \ --name <vm-availability-set-name> \ --command-id RunShellScript \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
После вызова этих команд могут появиться определенные коды ошибок. Сведения о кодах ошибок 50, 51 и 52 см. по следующим ссылкам:
- Устранение неполадок с кодом ошибки OutboundConnFailVMExtensionError (50)
- Устраните неполадки с кодом ошибки K8SAPIServerConnFailVMExtensionError (51)
- Устранение неполадок с кодом ошибки K8SAPIServerDNSLookupFailVMExtensionError (52)
Если вы получаете код ошибки 99, это означает, что команда apt-get update заблокирована для доступа к одному или нескольким из следующих доменов:
- security.ubuntu.com
- azure.archive.ubuntu.com
- nvidia.github.io
Чтобы разрешить доступ к этим доменам, обновите настройки всех блокирующих брандмауэров, групп безопасности сети (NSG) или виртуальных сетевых модулей (NVA).
Решение: сменить сертификаты на другие
Вы можете применить автоматическое обновление сертификатов на узлах до истечения срока их действия. Эта опция не требует простоя для кластера AKS.
Если вы можете разместить время простоя кластера, вместо этого можно повернуть сертификаты вручную.
Примечание.
Начиная с 15 июля 2021 г. выпуск AKS, обновление кластера AKS автоматически помогает сменить сертификаты кластера. Однако это изменение поведения не вступают в силу для сертификата кластера с истекшим сроком действия. Если обновление выполняет только следующие действия, срок действия сертификатов с истекшим сроком действия не будет продлен.
- Обновление образа узла.
- Обновите пул узлов до той же версии.
- Обновите пул узлов до более последней версии.
Только полное обновление (т. е. обновление для плоскости управления и пула узлов) помогает продлить срок действия сертификатов.
Дополнительная информация
- Общие инструкции по устранению неполадок см. в разделе "Базовый" по устранению неполадок с ошибками node Not Ready.