Süresi dolan sertifikalar varsa Düğüm Hazır Değil hatalarıyla ilgili sorunları giderme
Bu makale, süresi dolmuş sertifikalar varsa Microsoft Azure Kubernetes Service (AKS) kümesindeki Node Not Ready senaryolarında sorun gidermenize yardımcı olur.
Önkoşullar
Belirtiler
Bir AKS kümesi düğümünü Düğüm Hazır Değil durumunda bulursunuz.
Neden
Bir veya daha fazla süresi dolmuş sertifika var.
Önleme: Sertifikaları imzalamak için OpenSSL'yi çalıştırın
aşağıdaki gibi openssl-x509 komutunu çağırarak sertifikaların sona erme tarihlerini denetleyin:
Sanal makine (VM) ölçek kümesi düğümleri için az vmss run-command invoke komutunu kullanın:
az vmss run-command invoke \ --resource-group <resource-group-name> \ --name <vm-scale-set-name> \ --command-id RunShellScript \ --instance-id 0 \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
VM kullanılabilirlik kümesi düğümleri için az vm run-command invoke komutunu kullanın:
az vm run-command invoke \ --resource-group <resource-group-name> \ --name <vm-availability-set-name> \ --command-id RunShellScript \ --output tsv \ --query "value[0].message" \ --scripts "openssl x509 -in /etc/kubernetes/certs/apiserver.crt -noout -enddate"
Bu komutları çağırdıktan sonra bazı hata kodları alabilirsiniz. 50, 51 ve 52 hata kodları hakkında bilgi için aşağıdaki bağlantılara bakın:
- OutboundConnFailVMExtensionError hata kodu sorunlarını giderme (50)
- K8SAPIServerConnFailVMExtensionError hata kodu sorunlarını giderme (51)
- K8SAPIServerDNSLookupFailVMExtensionError hata kodu sorunlarını giderme (52)
Hata kodu 99 alırsanız bu, apt-get güncelleştirme komutunun aşağıdaki etki alanlarından birine veya daha fazlasına erişmesinin engellendiğini gösterir:
- security.ubuntu.com
- azure.archive.ubuntu.com
- nvidia.github.io
Bu etki alanlarına erişime izin vermek için engelleyici güvenlik duvarlarının, ağ güvenlik gruplarının (NSG'ler) veya ağ sanal gereçlerinin (NVA) yapılandırmasını güncelleştirin.
Çözüm: Sertifikaları döndürme
Sertifikaları süresi dolmadan önce düğümlerde döndürmek için sertifika otomatik döndürmesi uygulayabilirsiniz. Bu seçenek AKS kümesi için kapalı kalma süresi gerektirmez.
Küme kapalı kalma süresini karşılayabiliyorsanız, bunun yerine sertifikaları el ile döndürebilirsiniz .
Not
AKS'nin 15 Temmuz 2021 sürümünden itibaren AKS kümesi yükseltmesi otomatik olarak küme sertifikalarının döndürülürken yardımcı olur. Ancak, bu davranış değişikliği süresi dolan bir küme sertifikası için geçerli olmaz. Yükseltme yalnızca aşağıdaki eylemleri gerçekleştirirse süresi dolan sertifikalar yenilenmez:
- Düğüm görüntüsünü yükseltme.
- Düğüm havuzunu aynı sürüme yükseltin.
- Düğüm havuzunu daha yeni bir sürüme yükseltin.
Yalnızca tam yükseltme (yani hem denetim düzlemi hem de düğüm havuzu için bir yükseltme) süresi dolan sertifikaların yenilenmesine yardımcı olur.
Daha fazla bilgi
- Genel sorun giderme adımları için bkz. Düğüm Hazır Değil hatalarında temel sorun giderme.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin