当前位置：首页 > news >正文

Unable to connect to the server: x509: certificate is valid for问题解决

news 2026/2/7 12:45:15

文章目录

- 环境描述
- 问题描述
- 问题原因
- 解决方案
- 额外问题
- - 问题描述
  - 问题解决方案
  - 新问题

环境描述

Kubernetes版本1.15
测试客户端centos7

问题描述

将构建于内网网络环境上的kubernetes集群的/etc/kubernetes/admin.conf文件拷贝到外网的一台装有kubernetes客户端的设备上，文件内容放到外网设备的~/.kube/config文件中
然后修改config文件中的server: https://${ip}:6443中的ip为kubernetes集群的master设备的外网IP
然后使用kubectl get pods 等方法去访问构建于内网IP的kubernetes集群
反馈结果Unable to connect to the server: x509: certificate is valid for ${kubernetes集群的内网IP列表}, not ${kubernetes集群的master设备的外网IP}

问题原因

我们的kubernetes的apiserver-advertise-address是一个内网IP，默认情况下，kubernetes自建的CA会为apiserver签发一个证书，证书的默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local，不包含设备的外网IP。所以直接通过admin.conf去访问kubernetes是不可能的。

解决方案

删除当前kubernetes集群下的apiserver的cert和key
rm /etc/kubernetes/pki/apiserver.*
生成新的apiserver的cert和key
kubeadm init phase certs apiserver --apiserver-advertise-address ${原来的advertise ip} --apiserver-cert-extra-sans ${master的外网ip}
刷新admin.conf
kubeadm alpha certs renew admin.conf
重启apiserver（可以先delete在apply）

kubectl delete pod ${你的apiserver的pod} –n kube-system
kubectl delete –f /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl apply -f /etc/kubernetes/manifests/kube-apiserver.yaml

在另一台装有kubernetes客户端的设备中，使用新生成的admin.conf访问集群
kubectl get nodes

额外问题

问题描述

通过/etc/kubernetes/admin.conf去访问某个kubernetes集群时，报错Unable to connect to the server: x509: certificate has expired or is not yet valid

问题解决方案

通过如下命令查看kubernetes的admin.conf中的证书的有效期，看是否有效
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text

==================================================

新问题

通过如上方式，重新进行尝试时，发现有的时候，删除pod之后重新reply不管用

新问题的解决方案
修改完apiserver的证书，更新admin.conf后，重启master所在设备，可以解决这个问题

文章目录

环境描述

问题描述

问题原因

解决方案

额外问题

问题描述

问题解决方案

新问题

相关文章：