ssl - 隔离 Azure Kubernetes 服务 (AKS) SSL 错误

Question

我将一个 Helm chart 部署到一个隔离的服务器上，并在它对 kube-api 执行的自签名证书 HTTPS 发布中失败，并出现以下错误:

curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL 连接到 kubernetes.default.svc:443

以前有人见过吗？这是“POST”:

echo "Creating a secret for the certificate and keys"
 STATUS=$(curl -ik \
            -o ${TMP_DIR}/output \
            -w "%{http_code}" \
            -X POST \
            -H "Authorization: Bearer $TOKEN" \
            -H 'Accept: application/json' \
            -H 'Content-Type: application/json' \
            -d '{
            "kind": "Secret",
            "apiVersion": "v1",
            "metadata": {
              "name": "spark-webhook-certs",
              "namespace": "'"$NAMESPACE"'"
            },
            "data": {
              "ca-cert.pem": "'"$ca_cert"'",
              "ca-key.pem": "'"$ca_key"'",
              "server-cert.pem": "'"$server_cert"'",
              "server-key.pem": "'"$server_key"'"
            }
           }' \
           https://kubernetes.default.svc/api/v1/namespaces/${NAMESPACE}/secrets 

由于 .sh 正在由 docker image 命令在此处调用的自签名证书而发生错误: https://github.com/GoogleCloudPlatform/spark-on-k8s-operator/blob/master/hack/gencerts.sh

我知道它没有走到尽头，因为它没有泄露它试图发布的 secret 。你们都认为我应该从哪里开始排除故障？我在此处发布了其他信息，包括屏幕截图: https://github.com/GoogleCloudPlatform/spark-on-k8s-operator/issues/926

Answer 1

我会尝试更新 gencerts.sh 的内容获取有关错误的更多上下文:

添加 -v或 --verbose curl 的选项命令。

使用strace调用 curl命令

这两个选项都会向 stderr 发送更多输出。因此您应该能够检查日志并更好地了解故障模式。公平警告: strace会产生大量的输出。

另一个信息来源是 kube-apiserver 日志。您需要 enable collection of master logs通过调整集群的配置。您应该期望 kube-apiserver 记录每个 API 请求.

这里的第一个问题是控制平面是否收到了请求。为了解决这个问题，我会在集群内的一个容器上获得一个 shell 并尝试重新创建 curl。请求 gencerts.sh正在做。有一些关于 accessing the cluster API without kubectl的信息在 Kubernetes 文档中。