NVIDIA容器工具包中Apt密钥更新失败问题分析与解决

问题背景

在使用Ubuntu 20.04.6 LTS系统执行sudo apt-get update -y命令时，用户遇到了一个关于GitHub CLI Apt密钥失效的错误提示。错误信息显示签名无效，具体表现为EXPKEYSIG 23F3D4EA75716059 GitHub CLI的密钥已过期。

错误现象分析

系统更新过程中出现了两个关键错误：

1. GitHub CLI仓库签名验证失败：系统无法验证来自GitHub CLI软件包的签名，原因是密钥已过期。

2. NVIDIA容器工具包相关错误：最初误以为是NVIDIA运行时容器调用了GitHub CLI导致的问题，但后续排查发现这是误解。

深入排查过程

用户最初尝试按照GitHub官方提供的解决方案更新密钥，但问题依旧存在。进一步检查发现：

• 通过curl获取NVIDIA GPG密钥时，TLS握手显示正常，没有过期迹象
• 密钥文件本身也没有问题，能够正常下载
• 尝试手动添加NVIDIA的GPG密钥(curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -)并未解决问题

问题根源

经过深入调查，发现问题实际上与以下因素无关：

• NVIDIA容器工具包
• GitHub CLI本身的密钥更新机制

真正的原因是系统镜像中的cloud-init配置存在问题。在VM构建过程中，cloud-init自动配置了一个过期的Apt软件源，而这个配置被保留在了系统镜像中。

解决方案

1. 重建虚拟机：使用最新的cloud-init镜像重新构建虚拟机，这是最彻底的解决方案。

2. 手动修复方案（如果无法立即重建）：

   • 检查/etc/apt/sources.list和/etc/apt/sources.list.d/目录下的所有配置文件
   • 移除或更新所有指向过期仓库的配置
   • 确保使用正确的密钥环路径

经验总结

1. 系统镜像维护：定期更新基础系统镜像，确保包含最新的软件源配置。

2. 错误诊断方法：

   • 不要被表面现象迷惑，需要深入分析错误日志
   • 区分直接错误和间接影响
   • 考虑系统构建过程中的自动化配置可能引入的问题

3. 密钥管理最佳实践：

   • 使用signed-by参数明确指定密钥路径
   • 将密钥存储在/etc/apt/keyrings/目录而非传统的/usr/share/keyrings/
   • 定期检查密钥有效期并提前更新

技术要点

1. Apt密钥验证机制：了解Linux系统如何验证软件包签名，可以帮助更快定位类似问题。

2. cloud-init的作用：作为云环境初始化工具，它可能在系统构建阶段配置软件源，这些配置可能随着时间推移而过期。

3. 密钥环路径演变：现代Linux发行版倾向于使用/etc/apt/keyrings/而非传统的/usr/share/keyrings/来存储密钥。

通过这次问题排查，我们认识到系统维护中保持基础镜像更新的重要性，以及正确诊断问题根源的关键性。对于生产环境，建议建立定期镜像更新机制，避免类似问题的发生。