Süresi dolan sertifikalar varsa Düğüm Hazır Değil hatalarıyla ilgili sorunları giderme
Bu makale, süresi dolmuş sertifikalar varsa Bir Microsoft Azure Kubernetes Service (AKS) kümesinde Node Not Ready senaryolarında sorun gidermenize yardımcı olur.
Önkoşullar
- Azure CLI
- Sertifika görüntüleme ve imzalama için OpenSSL komut satırı aracı
Belirtiler
Bir AKS kümesi düğümünü Düğüm Hazır Değil durumunda bulursunuz.
Neden
Bir veya daha fazla süresi dolmuş sertifika var.
Önleme: Sertifikaları imzalamak için OpenSSL'yi çalıştırın
aşağıdaki gibi openssl-x509 komutunu çağırarak sertifikaların son kullanma tarihlerini denetleyin:
Sanal makine (VM) ölçek kümesi düğümleri için az vmss run-command invoke komutunu kullanın:
az vmss run-command invoke \ --resource-group <resource-group-name> \ --name <vm-scale-set-name> \ --command-id RunShellScript \ --instance-id 0 \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"VM kullanılabilirlik kümesi düğümleri için az vm run-command invoke komutunu kullanın:
az vm run-command invoke \ --resource-group <resource-group-name> \ --name <vm-availability-set-name> \ --command-id RunShellScript \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
Bu komutları çağırdıktan sonra bazı hata kodları alabilirsiniz. 50, 51 ve 52 hata kodları hakkında bilgi için aşağıdaki bağlantılara bakın:
- OutboundConnFailVMExtensionError hata kodunun (50) sorunlarını giderme
- K8SAPIServerConnFailVMExtensionError hata kodunun (51) sorunlarını giderme
- K8SAPIServerDNSLookupFailVMExtensionError hata kodunun (52) sorunlarını giderme
Hata kodu 99 alırsanız, bu, apt-get update komutunun aşağıdaki etki alanlarından birine veya daha fazlasına erişmesinin engellendiğini gösterir:
- security.ubuntu.com
- azure.archive.ubuntu.com
- nvidia.github.io
Bu etki alanlarına erişim izni vermek için engelleyici güvenlik duvarlarının, ağ güvenlik gruplarının (NSG'ler) veya ağ sanal gereçlerinin (NVA) yapılandırmasını güncelleştirin.
Çözüm: Sertifikaları döndürme
Düğümlerdeki sertifikaları süresi dolmadan döndürmek için sertifika otomatik döndürme uygulayabilirsiniz. Bu seçenek AKS kümesi için kapalı kalma süresi gerektirmez.
Küme kapalı kalma süresini karşılayabilirseniz, bunun yerine sertifikaları el ile döndürebilirsiniz.
Not
AKS'nin 15 Temmuz 2021 sürümünden itibaren AKS kümesi yükseltmesi otomatik olarak küme sertifikalarını döndürmeye yardımcı olur. Ancak, bu davranış değişikliği süresi dolan bir küme sertifikası için geçerli değildir. Yükseltme yalnızca aşağıdaki eylemleri gerçekleştirirse süresi dolan sertifikalar yenilenmez:
- Düğüm görüntüsünü yükseltme.
- Düğüm havuzunu aynı sürüme yükseltin.
- Düğüm havuzunu daha yeni bir sürüme yükseltin.
Yalnızca tam yükseltme (yani hem denetim düzlemi hem de düğüm havuzu için bir yükseltme) süresi dolan sertifikaların yenilenmesine yardımcı olur.
Daha Fazla Bilgi
- Genel sorun giderme adımları için bkz . Düğüm Hazır Değil hatalarıyla ilgili temel sorun giderme.