首页
/ Kubernetes kOps项目升级v1.26时ServiceAccountIssuer变更问题解析

Kubernetes kOps项目升级v1.26时ServiceAccountIssuer变更问题解析

2025-05-14 04:21:01作者:庞队千Virginia
kops
Kubernetes Operations (kOps) - Production Grade k8s Installation, Upgrades and Management
项目地址:https://gitcode.com/gh_mirrors/kop/kops

在Kubernetes集群管理工具kOps从v1.25升级到v1.26版本的过程中,一个关键变化是移除了masterInternalName配置项。这个看似简单的变更实际上会引发一系列连锁反应,特别是对ServiceAccount令牌签发机制的影响,可能导致集群升级后关键组件如Calico网络插件无法正常工作。

问题背景

当用户尝试将kOps从v1.25.4升级到v1.26.6版本时,升级过程中会自动修改两个关键配置:

  1. 移除显式指定的masterInternalName
  2. 自动将serviceAccountIssuerserviceAccountJWKSURI的值从原来的master.cluster.domain变更为api.internal.cluster.domain

这种变更导致的核心问题是:所有依赖ServiceAccount令牌进行认证的组件(如Calico CNI插件)会突然无法通过认证,因为它们持有的令牌是由旧的签发者(master.cluster.domain)签发的,而API Server现在只认可新签发者(api.internal.cluster.domain)的令牌。

问题表现

升级过程中最明显的症状是:

  1. Calico-node Pod中的install-cni init容器启动失败,报错"Unable to create token for CNI kubeconfig error=Unauthorized"
  2. 其他依赖k8s API的Pod也出现类似的未授权错误
  3. 新启动的控制平面节点上的核心组件无法正常工作

根本原因分析

这个问题源于Kubernetes的服务账户令牌签发机制。在Kubernetes中:

  1. ServiceAccount令牌包含签发者(issuer)信息
  2. API Server会验证请求中令牌的签发者是否与当前配置的serviceAccountIssuer匹配
  3. 当签发者变更时,所有现有的令牌立即失效
  4. kOps v1.26强制使用api.internal.cluster.domain作为签发者,不再支持自定义的masterInternalName

解决方案

经过实践验证,可以采用以下分阶段迁移方案来平滑过渡:

第一阶段:准备阶段

  1. 在集群配置中添加additionalSans,包含原masterInternalName的值
  2. 从集群配置中移除masterInternalName
  3. 在master节点组中添加pre-hook,临时修改kube-apiserver manifest,将原签发者作为主签发者

第二阶段:初始迁移

  1. 应用配置变更并滚动更新master节点
  2. 手动创建master.cluster.domain的DNS记录指向master节点IP
  3. 更新kubernetes-services-endpoint ConfigMap中的KUBERNETES_SERVICE_HOST值(如使用Calico CNI)

第三阶段:签发者切换

  1. 更新pre-hook,将新签发者设为主签发者,原签发者作为辅助签发者
  2. 再次应用变更并滚动更新master节点
  3. 滚动更新集群中所有worker节点

第四阶段:清理阶段

  1. 等待24小时确保所有动态SA令牌刷新
  2. 移除master节点组中的pre-hook
  3. 从集群配置中移除additionalSans
  4. 最后滚动更新master节点
  5. 删除临时的master.cluster.domain DNS记录

技术要点

在整个迁移过程中,有几个关键点需要特别注意:

  1. DNS记录的维护至关重要 - 必须确保master.cluster.domain始终正确解析到当前master节点的IP
  2. 分阶段切换签发者可以避免服务中断 - 先添加新签发者为辅助,再提升为主签发者
  3. 足够的等待时间 - 确保所有组件都有机会刷新它们的ServiceAccount令牌
  4. 全节点滚动更新 - 确保集群中所有节点都使用新配置

未来改进

kOps社区已经意识到这个问题,并在新版本中计划添加对多ServiceAccount签发者的原生支持。这将使类似的迁移变得更加简单和安全,无需复杂的pre-hook操作。

对于计划升级到kOps v1.26及更高版本的用户,建议:

  1. 提前规划ServiceAccount签发者迁移策略
  2. 在测试环境验证迁移方案
  3. 考虑等待支持多签发者的kOps版本发布后再进行升级

通过这种谨慎的迁移方法,用户可以确保集群在kOps升级过程中保持稳定,避免因ServiceAccount令牌失效导致的服务中断。

kops
Kubernetes Operations (kOps) - Production Grade k8s Installation, Upgrades and Management
项目地址:https://gitcode.com/gh_mirrors/kop/kops
登录后查看全文

相关内容推荐

1 Kubernetes集群节点加入失败问题排查与解决:kops版本兼容性分析2 推荐项目:kOps - Kubernetes 集群运维利器3 Kubernetes kOps 1.29版本中DNS记录未随负载均衡器更新问题解析4 Kubernetes Kops项目中Calico eBPF模式的版本升级问题解析5 Kubernetes kops项目中AWS EBS CSI驱动节点服务账户权限缺失问题分析6 Kubernetes kOps 1.30.2版本中Cilium Hubble组件故障分析7 Kubernetes kOps项目中的AWS API速率限制问题分析与解决8 Kubernetes kOps项目中crictl缺失导致Nodeup启动失败问题分析9 Kubernetes kops项目升级至1.30版本后AWS经典负载均衡器健康检查问题解析10 开源项目Kubernetes Operations(kOps): 安装与使用指南
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
27
14
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
658
4.26 K
pytorchpytorch
Ascend Extension for PyTorch
Python
502
606
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
939
862
Oohos_react_native
React Native鸿蒙化仓库
JavaScript
334
378
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
390
284
AscendNPU-IRAscendNPU-IR
AscendNPU-IR是基于MLIR(Multi-Level Intermediate Representation)构建的,面向昇腾亲和算子编译时使用的中间表示,提供昇腾完备表达能力,通过编译优化提升昇腾AI处理器计算效率,支持通过生态框架使能昇腾AI处理器与深度调优
C++
123
195
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
180
258
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.54 K
892
MindSpeed-LLMMindSpeed-LLM
昇腾LLM分布式训练框架
Python
142
168