当前位置：首页 > news >正文

AWS EKS 相关错误修复 - remote error: tls: internal error - CSR pending

news 2025/11/7 6:47:30

现象

升级aws eks的kubernetes版本后执行kubectl logs 或者kubectl exec相关命令会出现报错
remote error: tls: internal error
执行kubectl get csr -A查看csr出现一直pending的状态,并且出现问题的pod都在新创建出来的eks node节点上

kubectl get csr -A
NAME        AGE   SIGNERNAME                      REQUESTOR                                                     REQUESTEDDURATION   CONDITION
csr-lxtzg   23h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m2dlr   16h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m66ft   21h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m6nnk   17h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m8j6l   22h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-mb4kz   21h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-mcw4w   23h   kubernetes.io/kubelet-serving                                                                 <none>              Pending

原因

执行kubectl describe cm aws-auth -n kube-system命令发现aws-auth有些role重复了，删掉重复的role就行了, 用 kubectl edit cm aws-auth -n kube-system命令可以直接编辑，或者kubectl get cm aws-auth -n kube-system -o yaml > aws-auth.yaml保存成yaml文件修改后直接apply

Name:         aws-auth
Namespace:    kube-system
Labels:       <none>
Annotations:  <none>Data
====
mapRoles:
----
- groups:- system:mastersrolearn: arn:aws:iam::xxxxxx:role/Fed_Account
- groups:- system:bootstrappers- system:nodesrolearn: arn:aws:iam::xxxxxx:role/eks-stg-shared-workerusername: system:node:{{EC2PrivateDNSName}}mapUsers:
----
[]BinaryData
====Events:  <none>

其他

如果主机名类型值是subnet的资源名称也可能会导致这种错误，或者role的policy设置不正确，例如：

    "Condition": {"ArnLike": {"aws:SourceArn": "arn:aws:eks:region-code:your-account-id:cluster/cluster-name"}}

可以试着禁用policy然后重启pod.
对于pending状态的csr可以尝试手动approve
kubectl get csr | grep Pending | awk '{print $1}' | xargs -I {} kubectl certificate approve {}
但是这对于我们的eks并没有效果

AWS EKS 相关错误修复 - remote error: tls: internal error - CSR pending

现象

原因

其他

更多讨论可以参考下面的链接

相关文章：

AWS EKS 相关错误修复 - remote error: tls: internal error - CSR pending

浏览器事件循环机制

ubuntu22.04编译安装Opencv4.8.0+Opencv-contrib4.8.0教程

概率论得学习和整理27：关于离散的数组随机变量数组的均值，方差的求法3种公式，思考和细节。

【排序算法】——插入排序

MySQL的并发控制与MVCC机制深度解析

Qt编译MySQL数据库驱动

uniapp地址类方法

使用Idea自带的git功能进行分支合并

酷盾安全：Edge SCDN边缘安全内容分发网络

H5 中 van-popup 的使用以及题目的切换

Liinux下VMware Workstation Pro的安装，建议安装最新版本17.61

WebRTC服务质量（05）- 重传机制（02) NACK判断丢包

修改ubuntu apt 源及apt 使用

深入解析 `DataFrame.groupby` 和 `agg` 的用法及使用场景

MySQL 的锁

二、使用langchain搭建RAG:金融问答机器人--数据清洗和切片

【Linux】-- linux 配置用户免密登录本机

泷羽sec学习打卡-brupsuite8伪造IP和爬虫审计

【uniapp蓝牙】基于native.js链接ble和非ble蓝牙

1.3 VSCode安装与环境配置

【论文笔记】若干矿井粉尘检测算法概述

Qt Http Server模块功能及架构

ardupilot 开发环境eclipse 中import 缺少C++

有限自动机到正规文法转换器v1.0

#Uniapp篇：chrome调试unapp适配

（一）单例模式

go 里面的指针

数据结构：递归的种类（Types of Recursion）

对象回调初步研究