首页
/ Harvester项目中使用自定义CA证书导致节点加入失败问题分析

Harvester项目中使用自定义CA证书导致节点加入失败问题分析

2025-06-14 14:25:12作者:廉彬冶Miranda

问题背景

在Harvester v1.4.0版本中,当用户配置了自定义CA证书后,尝试向集群添加额外节点时会出现加入失败的情况。这一问题主要影响使用自定义SSL证书的生产环境部署场景。

问题现象

当第一个节点配置了自定义CA证书后,后续节点在加入过程中会报错:

error while connecting to Kubernetes cluster: Get "https://192.168.60.155/version": tls: failed to verify certificate: x509: certificate signed by unknown authority

虽然操作系统级别的证书验证工作正常(如curl命令可以成功访问API),但rancher-system-agent服务无法建立安全连接。

技术分析

根本原因

该问题源于Rancher v2.9.x版本引入的严格TLS验证机制。Harvester v1.4.0使用了Rancher v2.9.2来管理本地集群,默认启用了CATTLE_AGENT_STRICT_VERIFY环境变量。

关键变化点包括:

  1. rancher-system-agent服务配置中新增了CATTLE_AGENT_STRICT_VERIFY=true参数
  2. Rancher新增了agent-tls-mode设置,默认值为"strict"
  3. 当使用自定义CA证书时,agent无法自动识别系统证书存储中的CA证书

验证过程

通过检查发现:

  1. 节点上的/var/lib/rancher/agent/rancher2_connection_info.json文件中仍包含默认的"dynamiclistener" CA证书
  2. 虽然操作系统信任存储中已正确添加自定义CA证书,但rancher-system-agent未使用系统证书存储
  3. 手动修改连接信息文件中的CA证书后,节点可以成功加入

解决方案

临时解决方案

对于已部署的环境,可以通过以下步骤解决:

  1. 登录第一个节点
  2. 修改agent-tls-mode设置为"system-store"
apiVersion: management.cattle.io/v3
kind: Setting
metadata:
  name: agent-tls-mode
value: "system-store"

永久修复方案

Harvester团队已在v1.4.2和v1.5.0版本中修复此问题,主要变更包括:

  1. 默认将agent-tls-mode设置为"system-store"
  2. 确保自定义CA证书能被rancher-system-agent正确识别和使用

版本影响

  • 受影响版本:Harvester v1.4.0至v1.4.1
  • 已修复版本:v1.4.2及更高版本
  • 不影响版本:v1.3.x系列(使用Rancher v2.8.5,未引入严格TLS验证)

最佳实践建议

  1. 对于生产环境,建议直接升级到v1.4.2或更高版本
  2. 如果必须使用v1.4.0/1.4.1,应在部署第一个节点后立即修改agent-tls-mode设置
  3. 确保自定义证书包含管理VIP的CN或SAN条目
  4. 在加入节点前验证系统证书存储是否已正确加载自定义CA证书

技术深度解析

该问题揭示了嵌入式Rancher与Harvester集成时的一个关键配置点。Rancher v2.9引入的严格TLS验证本意是提高安全性,但在Harvester这种特殊部署场景下,需要更灵活的证书验证策略。

"system-store"模式允许agent使用操作系统提供的证书存储,这既保持了安全性,又兼容了用户自定义CA的需求。这种设计平衡了安全性和灵活性,是云原生系统证书管理的典型实践。

登录后查看全文
热门项目推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
178
263
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
868
514
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
130
183
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
288
323
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
373
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
600
58
GitNextGitNext
基于可以运行在OpenHarmony的git,提供git客户端操作能力
ArkTS
10
3