当前位置：首页 > news >正文

AWS EKS 相关错误修复 - remote error: tls: internal error - CSR pending

news 2026/5/18 4:10:06

现象

升级aws eks的kubernetes版本后执行kubectl logs 或者kubectl exec相关命令会出现报错
remote error: tls: internal error
执行kubectl get csr -A查看csr出现一直pending的状态,并且出现问题的pod都在新创建出来的eks node节点上

kubectl get csr -A
NAME        AGE   SIGNERNAME                      REQUESTOR                                                     REQUESTEDDURATION   CONDITION
csr-lxtzg   23h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m2dlr   16h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m66ft   21h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m6nnk   17h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-m8j6l   22h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-mb4kz   21h   kubernetes.io/kubelet-serving                                                                 <none>              Pending
csr-mcw4w   23h   kubernetes.io/kubelet-serving                                                                 <none>              Pending

原因

执行kubectl describe cm aws-auth -n kube-system命令发现aws-auth有些role重复了，删掉重复的role就行了, 用 kubectl edit cm aws-auth -n kube-system命令可以直接编辑，或者kubectl get cm aws-auth -n kube-system -o yaml > aws-auth.yaml保存成yaml文件修改后直接apply

Name:         aws-auth
Namespace:    kube-system
Labels:       <none>
Annotations:  <none>Data
====
mapRoles:
----
- groups:- system:mastersrolearn: arn:aws:iam::xxxxxx:role/Fed_Account
- groups:- system:bootstrappers- system:nodesrolearn: arn:aws:iam::xxxxxx:role/eks-stg-shared-workerusername: system:node:{{EC2PrivateDNSName}}mapUsers:
----
[]BinaryData
====Events:  <none>

其他

如果主机名类型值是subnet的资源名称也可能会导致这种错误，或者role的policy设置不正确，例如：

    "Condition": {"ArnLike": {"aws:SourceArn": "arn:aws:eks:region-code:your-account-id:cluster/cluster-name"}}

可以试着禁用policy然后重启pod.
对于pending状态的csr可以尝试手动approve
kubectl get csr | grep Pending | awk '{print $1}' | xargs -I {} kubectl certificate approve {}
但是这对于我们的eks并没有效果

AWS EKS 相关错误修复 - remote error: tls: internal error - CSR pending

现象

原因

其他

更多讨论可以参考下面的链接

相关文章：

AWS EKS 相关错误修复 - remote error: tls: internal error - CSR pending

浏览器事件循环机制

ubuntu22.04编译安装Opencv4.8.0+Opencv-contrib4.8.0教程

概率论得学习和整理27：关于离散的数组随机变量数组的均值，方差的求法3种公式，思考和细节。

【排序算法】——插入排序

MySQL的并发控制与MVCC机制深度解析

Qt编译MySQL数据库驱动

uniapp地址类方法

使用Idea自带的git功能进行分支合并

酷盾安全：Edge SCDN边缘安全内容分发网络

H5 中 van-popup 的使用以及题目的切换

Liinux下VMware Workstation Pro的安装，建议安装最新版本17.61

WebRTC服务质量（05）- 重传机制（02) NACK判断丢包

修改ubuntu apt 源及apt 使用

深入解析 `DataFrame.groupby` 和 `agg` 的用法及使用场景

MySQL 的锁

二、使用langchain搭建RAG:金融问答机器人--数据清洗和切片

【Linux】-- linux 配置用户免密登录本机

泷羽sec学习打卡-brupsuite8伪造IP和爬虫审计

【uniapp蓝牙】基于native.js链接ble和非ble蓝牙

保姆级教程：在CentOS 7/8服务器上部署DrissionPage爬虫（含Chrome无头模式配置）

【限时公开】后印象派专属--ar 16:9 --style raw --stylize 800参数组合包（含塞尚构图/修拉点彩/劳特累克动态线共12套已验证prompt模板）

去中心化AI市场BloomBee：技术架构、挑战与开发者实践指南

轻量级HTTP代理monica-proxy：精准流量转发与多场景部署指南

如何用Wedecode实现微信小程序源代码的完美还原：从加密包到可读代码的完整指南

开源提示词管理工具：本地化部署与AI工作流效率提升实践

Godot游戏引擎与强化学习结合：从零构建AI智能体的实战指南

Claude-Code-Board：构建AI编程工作台，提升开发效率与协作

从开源项目到个人监控工具：clawmonitor的设计、部署与实战

Figma设计稿自动化生成Markdown文档：从API调用到CI/CD集成