Kubernetes kube-dns TLS证书验证

Question

我使用kubernetes v1.5.2，并在tls上实现了api。问题是，在部署kube时，我得到了关于minion的消息，如：

Mar 23 10:06:27 node01 journal: I0323 09:06:27.007407       1 dns.go:172]   Ignoring error while waiting for service default/kubernetes: Get  https://10.254.0.1:443/api/v1/namespaces/default/services/kubernetes: x509: cannot validate certificate for 10.254.0.1 because it doesn't contain any IP SANs. Sleeping 1s before retrying.

我试过用卷发，从另一个吊舱，它失败了，没有-不安全的开关，如果它是好的。

我理解10.254.0.1:443实际上提供来自主节点的证书(端口6443上的api)(192.168.0.200)，但是如何解决它，10.254.0.1提供它的有效证书。

以下是来自clusterip的描述: root@master01 01 dns# kubectl描述服务kubernetes名称: kubernetes Namespace: component=apiserver provider=kubernetes Selector: Type: ClusterIP IP: 10.254.0.1端口: https 443/TCP端点: 192.168.2.200:6443会话亲和力: ClientIP

谢谢杜布拉夫科

Answer 1

如果您正在使用服务IP，您的API服务器证书必须将IP:10.254.0.1作为SAN。

同样，如果使用服务名称kubernetes.default访问API，则证书必须具有SAN的名称。

一个好的做法是请求至少具有以下SAN的证书：

• IP：(第一个IP服务CIDR)
• DNS:kubernetes
• DNS:kubernetes.default
• DNS:kubernetes.default.svc
• DNS:kubernetes.default.svc.cluster.local

检查这个util脚本以供参考：util.sh