首页
/ Kubernetes kOps项目升级v1.26时ServiceAccountIssuer变更问题解析

Kubernetes kOps项目升级v1.26时ServiceAccountIssuer变更问题解析

2025-05-14 18:00:00作者:庞队千Virginia
kops
Kubernetes Operations (kOps) - Production Grade k8s Installation, Upgrades and Management
项目地址:https://gitcode.com/gh_mirrors/kop/kops

在Kubernetes集群管理工具kOps从v1.25升级到v1.26版本的过程中,一个关键变化是移除了masterInternalName配置项。这个看似简单的变更实际上会引发一系列连锁反应,特别是对ServiceAccount令牌签发机制的影响,可能导致集群升级后关键组件如Calico网络插件无法正常工作。

问题背景

当用户尝试将kOps从v1.25.4升级到v1.26.6版本时,升级过程中会自动修改两个关键配置:

  1. 移除显式指定的masterInternalName
  2. 自动将serviceAccountIssuerserviceAccountJWKSURI的值从原来的master.cluster.domain变更为api.internal.cluster.domain

这种变更导致的核心问题是:所有依赖ServiceAccount令牌进行认证的组件(如Calico CNI插件)会突然无法通过认证,因为它们持有的令牌是由旧的签发者(master.cluster.domain)签发的,而API Server现在只认可新签发者(api.internal.cluster.domain)的令牌。

问题表现

升级过程中最明显的症状是:

  1. Calico-node Pod中的install-cni init容器启动失败,报错"Unable to create token for CNI kubeconfig error=Unauthorized"
  2. 其他依赖k8s API的Pod也出现类似的未授权错误
  3. 新启动的控制平面节点上的核心组件无法正常工作

根本原因分析

这个问题源于Kubernetes的服务账户令牌签发机制。在Kubernetes中:

  1. ServiceAccount令牌包含签发者(issuer)信息
  2. API Server会验证请求中令牌的签发者是否与当前配置的serviceAccountIssuer匹配
  3. 当签发者变更时,所有现有的令牌立即失效
  4. kOps v1.26强制使用api.internal.cluster.domain作为签发者,不再支持自定义的masterInternalName

解决方案

经过实践验证,可以采用以下分阶段迁移方案来平滑过渡:

第一阶段:准备阶段

  1. 在集群配置中添加additionalSans,包含原masterInternalName的值
  2. 从集群配置中移除masterInternalName
  3. 在master节点组中添加pre-hook,临时修改kube-apiserver manifest,将原签发者作为主签发者

第二阶段:初始迁移

  1. 应用配置变更并滚动更新master节点
  2. 手动创建master.cluster.domain的DNS记录指向master节点IP
  3. 更新kubernetes-services-endpoint ConfigMap中的KUBERNETES_SERVICE_HOST值(如使用Calico CNI)

第三阶段:签发者切换

  1. 更新pre-hook,将新签发者设为主签发者,原签发者作为辅助签发者
  2. 再次应用变更并滚动更新master节点
  3. 滚动更新集群中所有worker节点

第四阶段:清理阶段

  1. 等待24小时确保所有动态SA令牌刷新
  2. 移除master节点组中的pre-hook
  3. 从集群配置中移除additionalSans
  4. 最后滚动更新master节点
  5. 删除临时的master.cluster.domain DNS记录

技术要点

在整个迁移过程中,有几个关键点需要特别注意:

  1. DNS记录的维护至关重要 - 必须确保master.cluster.domain始终正确解析到当前master节点的IP
  2. 分阶段切换签发者可以避免服务中断 - 先添加新签发者为辅助,再提升为主签发者
  3. 足够的等待时间 - 确保所有组件都有机会刷新它们的ServiceAccount令牌
  4. 全节点滚动更新 - 确保集群中所有节点都使用新配置

未来改进

kOps社区已经意识到这个问题,并在新版本中计划添加对多ServiceAccount签发者的原生支持。这将使类似的迁移变得更加简单和安全,无需复杂的pre-hook操作。

对于计划升级到kOps v1.26及更高版本的用户,建议:

  1. 提前规划ServiceAccount签发者迁移策略
  2. 在测试环境验证迁移方案
  3. 考虑等待支持多签发者的kOps版本发布后再进行升级

通过这种谨慎的迁移方法,用户可以确保集群在kOps升级过程中保持稳定,避免因ServiceAccount令牌失效导致的服务中断。

kops
Kubernetes Operations (kOps) - Production Grade k8s Installation, Upgrades and Management
项目地址:https://gitcode.com/gh_mirrors/kop/kops
登录后查看全文

相关内容推荐

1 Kubernetes集群节点加入失败问题排查与解决:kops版本兼容性分析2 推荐项目:kOps - Kubernetes 集群运维利器3 Kubernetes kOps 1.30.2版本中Cilium Hubble组件故障分析4 Kubernetes Kops项目中Calico eBPF模式的版本升级问题解析5 Kubernetes kops项目中AWS EBS CSI驱动节点服务账户权限缺失问题分析6 Kubernetes kOps项目中kube-scheduler参数错误导致CrashLoopBackOff问题分析7 kOps项目升级Kubernetes集群时遇到节点验证问题的分析与解决方案8 Kubernetes kOps 1.29版本中DNS记录未随负载均衡器更新问题解析9 开源项目Kubernetes Operations(kOps): 安装与使用指南10 Kubernetes kops项目升级至1.30版本后AWS经典负载均衡器健康检查问题解析
热门项目推荐
相关项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
278
2.57 K
kernelkernel
deepin linux kernel
C
24
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
223
302
pytorchpytorch
Ascend Extension for PyTorch
Python
105
135
flutter_flutterflutter_flutter
暂无简介
Dart
568
127
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
599
164
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.03 K
607
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.03 K
448
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
154
205
fountainfountain
一个用于服务器应用开发的综合工具库。 - 零配置文件 - 环境变量和命令行参数配置 - 约定优于配置 - 深刻利用仓颉语言特性 - 只需要开发动态链接库,fboot负责加载、初始化并运行。
Cangjie
280
26