Süresi dolan sertifikalar varsa Düğüm Hazır Değil hatalarıyla ilgili sorunları giderme

Bu makale, süresi dolmuş sertifikalar varsa Microsoft Azure Kubernetes Service (AKS) kümesindeki Node Not Ready senaryolarında sorun gidermenize yardımcı olur.

Önkoşullar

• Azure CLI
• Sertifika görüntüleme ve imzalama için OpenSSL komut satırı aracı

Belirtiler

Bir AKS kümesi düğümünü Düğüm Hazır Değil durumunda bulursunuz.

Neden

Bir veya daha fazla süresi dolmuş sertifika var.

Önleme: Sertifikaları imzalamak için OpenSSL'yi çalıştırın

aşağıdaki gibi openssl-x509 komutunu çağırarak sertifikaların sona erme tarihlerini denetleyin:

• Sanal makine (VM) ölçek kümesi düğümleri için az vmss run-command invoke komutunu kullanın:

  az vmss run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-scale-set-name> \
      --command-id RunShellScript \
      --instance-id 0 \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

• VM kullanılabilirlik kümesi düğümleri için az vm run-command invoke komutunu kullanın:

  az vm run-command invoke \
      --resource-group <resource-group-name> \
      --name <vm-availability-set-name> \
      --command-id RunShellScript \
      --output tsv \
      --query "value[0].message" \
      --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
  

Bu komutları çağırdıktan sonra bazı hata kodları alabilirsiniz. 50, 51 ve 52 hata kodları hakkında bilgi için aşağıdaki bağlantılara bakın:

• OutboundConnFailVMExtensionError hata kodu sorunlarını giderme (50)
• K8SAPIServerConnFailVMExtensionError hata kodu sorunlarını giderme (51)
• K8SAPIServerDNSLookupFailVMExtensionError hata kodu sorunlarını giderme (52)

Hata kodu 99 alırsanız bu, apt-get güncelleştirme komutunun aşağıdaki etki alanlarından birine veya daha fazlasına erişmesinin engellendiğini gösterir:

• security.ubuntu.com
• azure.archive.ubuntu.com
• nvidia.github.io

Bu etki alanlarına erişime izin vermek için engelleyici güvenlik duvarlarının, ağ güvenlik gruplarının (NSG'ler) veya ağ sanal gereçlerinin (NVA) yapılandırmasını güncelleştirin.

Çözüm: Sertifikaları döndürme

Sertifikaları süresi dolmadan önce düğümlerde döndürmek için sertifika otomatik döndürmesi uygulayabilirsiniz. Bu seçenek AKS kümesi için kapalı kalma süresi gerektirmez.

Küme kapalı kalma süresini karşılayabiliyorsanız, bunun yerine sertifikaları el ile döndürebilirsiniz .

Not

AKS'nin 15 Temmuz 2021 sürümünden itibaren AKS kümesi yükseltmesi otomatik olarak küme sertifikalarının döndürülürken yardımcı olur. Ancak, bu davranış değişikliği süresi dolan bir küme sertifikası için geçerli olmaz. Yükseltme yalnızca aşağıdaki eylemleri gerçekleştirirse süresi dolan sertifikalar yenilenmez:

• Düğüm görüntüsünü yükseltme.
• Düğüm havuzunu aynı sürüme yükseltin.
• Düğüm havuzunu daha yeni bir sürüme yükseltin.

Yalnızca tam yükseltme (yani hem denetim düzlemi hem de düğüm havuzu için bir yükseltme) süresi dolan sertifikaların yenilenmesine yardımcı olur.

Daha fazla bilgi

• Genel sorun giderme adımları için bkz. Düğüm Hazır Değil hatalarında temel sorun giderme.