首页
/ Rancher项目中AWS EC2下游RKE2集群激活问题解析

Rancher项目中AWS EC2下游RKE2集群激活问题解析

2025-05-08 03:44:04作者:咎岭娴Homer

问题背景

在Rancher v2.11.0-alpha11版本中,用户尝试在AWS EC2上部署下游RKE2集群时遇到了集群无法激活的问题。具体表现为集群状态长时间停留在"Updating"状态,并显示等待代理检查并应用初始计划的提示信息。

问题现象

当管理员通过Rancher UI创建AWS EC2 RKE2集群时,按照正常流程填写所有必要信息后,集群无法在预期时间内(通常10分钟左右)进入"Active"状态。系统日志显示集群卡在配置引导节点阶段,提示"waiting for agent to check in and apply initial plan"。

根本原因分析

经过深入调查,发现问题源于CA证书校验失败。具体机制如下:

  1. Rancher部署配置中固定包含了hostPort: 6666的设置,这导致系统内部API TLS标志(tls.InternalAPI)被自动设置为true。

  2. 当tls.InternalAPI为true时,Rancher会使用内部CA证书(internal-cacerts)而非标准CA证书(cacerts)进行安全验证。

  3. 然而,系统代理安装脚本(install.sh)中仍然配置了验证标准CA证书的校验和(CATTLE_CA_CHECKSUM),与实际获取的内部CA证书不匹配。

  4. 这种不匹配导致证书验证失败,进而阻止了集群节点的正确初始化和激活。

技术细节

在问题复现过程中,技术人员发现以下关键证据:

  1. 从/var/log/cloud-init-output.log日志中可见明确的证书校验失败信息:
[ERROR] Configured cacerts checksum (2711819a0d05774592bfb84adafd166ebbaaec57eaaea6e0a3e26ccc5c1012fa) does not match given --ca-checksum (215197b7afc0589014bb44f09bfc999a8971fba147a9e8de32e4df0971108a11)
  1. 通过检查安装脚本/usr/local/custom_script/install.sh,确认其中配置的CATTLE_CA_CHECKSUM值与实际从Rancher服务器获取的证书校验和不一致。

  2. 手动修正安装脚本中的CA校验和后,集群能够正常部署,这验证了问题的根本原因确实是证书校验不匹配。

解决方案

Rancher开发团队在后续版本(v2.11.0-alpha13)中修复了此问题。修复方案主要包括:

  1. 统一证书校验逻辑,确保系统代理安装脚本能够正确处理内部和标准CA证书的验证。

  2. 优化证书获取机制,根据tls.InternalAPI标志动态选择正确的证书源。

  3. 增强错误处理逻辑,在证书校验失败时提供更明确的错误信息和解决方案提示。

验证结果

在Rancher v2.11.0-alpha13版本中,测试人员确认:

  1. AWS EC2下游RKE2集群能够正常部署并自动激活。

  2. 集群节点能够正确完成初始化,不再出现卡在"Updating"状态的情况。

  3. 系统日志中不再出现证书校验失败的报错信息。

  4. 集群版本信息显示为预期值(v1.32.2+rke2r1),所有组件正常运行。

最佳实践建议

对于使用Rancher管理Kubernetes集群的管理员,建议:

  1. 始终使用经过充分测试的稳定版本,特别是在生产环境中。

  2. 部署前检查Rancher服务器的证书配置,确保其完整性和正确性。

  3. 关注部署日志,特别是/var/log/cloud-init-output.log中的关键信息。

  4. 对于自定义证书环境,提前验证证书链的完整性和浏览器兼容性。

  5. 定期更新Rancher和下游集群到最新稳定版本,以获取安全修复和功能改进。

通过理解这一问题的产生和解决过程,用户可以更深入地掌握Rancher集群部署机制,并在遇到类似问题时能够快速定位和解决。

登录后查看全文
热门项目推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
511