首页
/ Kubernetes kOps项目升级v1.26时ServiceAccountIssuer变更问题解析

Kubernetes kOps项目升级v1.26时ServiceAccountIssuer变更问题解析

2025-05-14 09:15:46作者:庞队千Virginia
kops
Kubernetes Operations (kOps) - Production Grade k8s Installation, Upgrades and Management
项目地址:https://gitcode.com/gh_mirrors/kop/kops

在Kubernetes集群管理工具kOps从v1.25升级到v1.26版本的过程中,一个关键变化是移除了masterInternalName配置项。这个看似简单的变更实际上会引发一系列连锁反应,特别是对ServiceAccount令牌签发机制的影响,可能导致集群升级后关键组件如Calico网络插件无法正常工作。

问题背景

当用户尝试将kOps从v1.25.4升级到v1.26.6版本时,升级过程中会自动修改两个关键配置:

  1. 移除显式指定的masterInternalName
  2. 自动将serviceAccountIssuerserviceAccountJWKSURI的值从原来的master.cluster.domain变更为api.internal.cluster.domain

这种变更导致的核心问题是:所有依赖ServiceAccount令牌进行认证的组件(如Calico CNI插件)会突然无法通过认证,因为它们持有的令牌是由旧的签发者(master.cluster.domain)签发的,而API Server现在只认可新签发者(api.internal.cluster.domain)的令牌。

问题表现

升级过程中最明显的症状是:

  1. Calico-node Pod中的install-cni init容器启动失败,报错"Unable to create token for CNI kubeconfig error=Unauthorized"
  2. 其他依赖k8s API的Pod也出现类似的未授权错误
  3. 新启动的控制平面节点上的核心组件无法正常工作

根本原因分析

这个问题源于Kubernetes的服务账户令牌签发机制。在Kubernetes中:

  1. ServiceAccount令牌包含签发者(issuer)信息
  2. API Server会验证请求中令牌的签发者是否与当前配置的serviceAccountIssuer匹配
  3. 当签发者变更时,所有现有的令牌立即失效
  4. kOps v1.26强制使用api.internal.cluster.domain作为签发者,不再支持自定义的masterInternalName

解决方案

经过实践验证,可以采用以下分阶段迁移方案来平滑过渡:

第一阶段:准备阶段

  1. 在集群配置中添加additionalSans,包含原masterInternalName的值
  2. 从集群配置中移除masterInternalName
  3. 在master节点组中添加pre-hook,临时修改kube-apiserver manifest,将原签发者作为主签发者

第二阶段:初始迁移

  1. 应用配置变更并滚动更新master节点
  2. 手动创建master.cluster.domain的DNS记录指向master节点IP
  3. 更新kubernetes-services-endpoint ConfigMap中的KUBERNETES_SERVICE_HOST值(如使用Calico CNI)

第三阶段:签发者切换

  1. 更新pre-hook,将新签发者设为主签发者,原签发者作为辅助签发者
  2. 再次应用变更并滚动更新master节点
  3. 滚动更新集群中所有worker节点

第四阶段:清理阶段

  1. 等待24小时确保所有动态SA令牌刷新
  2. 移除master节点组中的pre-hook
  3. 从集群配置中移除additionalSans
  4. 最后滚动更新master节点
  5. 删除临时的master.cluster.domain DNS记录

技术要点

在整个迁移过程中,有几个关键点需要特别注意:

  1. DNS记录的维护至关重要 - 必须确保master.cluster.domain始终正确解析到当前master节点的IP
  2. 分阶段切换签发者可以避免服务中断 - 先添加新签发者为辅助,再提升为主签发者
  3. 足够的等待时间 - 确保所有组件都有机会刷新它们的ServiceAccount令牌
  4. 全节点滚动更新 - 确保集群中所有节点都使用新配置

未来改进

kOps社区已经意识到这个问题,并在新版本中计划添加对多ServiceAccount签发者的原生支持。这将使类似的迁移变得更加简单和安全,无需复杂的pre-hook操作。

对于计划升级到kOps v1.26及更高版本的用户,建议:

  1. 提前规划ServiceAccount签发者迁移策略
  2. 在测试环境验证迁移方案
  3. 考虑等待支持多签发者的kOps版本发布后再进行升级

通过这种谨慎的迁移方法,用户可以确保集群在kOps升级过程中保持稳定,避免因ServiceAccount令牌失效导致的服务中断。

kops
Kubernetes Operations (kOps) - Production Grade k8s Installation, Upgrades and Management
项目地址:https://gitcode.com/gh_mirrors/kop/kops
登录后查看全文

相关内容推荐

1 Kubernetes集群节点加入失败问题排查与解决:kops版本兼容性分析2 推荐项目:kOps - Kubernetes 集群运维利器3 Kubernetes kOps 1.30.2版本中Cilium Hubble组件故障分析4 Kubernetes Kops项目中Calico eBPF模式的版本升级问题解析5 Kubernetes kops项目中AWS EBS CSI驱动节点服务账户权限缺失问题分析6 Kubernetes kOps 1.29版本中DNS记录未随负载均衡器更新问题解析7 Kubernetes kops项目升级至1.30版本后AWS经典负载均衡器健康检查问题解析8 Kubernetes kOps项目中的AWS API速率限制问题分析与解决9 Kubernetes kOps项目中crictl缺失导致Nodeup启动失败问题分析10 kOps项目升级Kubernetes集群时遇到节点验证问题的分析与解决方案
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
24
7
pytorchpytorch
Ascend Extension for PyTorch
Python
184
196
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
648
265
torchairtorchair
TorchAir 支持用户基于PyTorch框架和torch_npu插件在昇腾NPU上使用图模式进行推理。
Python
275
97
flutter_flutterflutter_flutter
暂无简介
Dart
623
140
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
380
3.43 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
242
315
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.1 K
621
cangjie_compilercangjie_compiler
仓颉编译器源码及 cjdb 调试工具。
C++
126
856
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
9
1