首页
/ Harvester项目中使用自定义CA证书导致节点加入失败问题分析

Harvester项目中使用自定义CA证书导致节点加入失败问题分析

2025-06-14 21:53:25作者:廉彬冶Miranda

问题背景

在Harvester v1.4.0版本中,当用户配置了自定义CA证书后,尝试向集群添加额外节点时会出现加入失败的情况。这一问题主要影响使用自定义SSL证书的生产环境部署场景。

问题现象

当第一个节点配置了自定义CA证书后,后续节点在加入过程中会报错:

error while connecting to Kubernetes cluster: Get "https://192.168.60.155/version": tls: failed to verify certificate: x509: certificate signed by unknown authority

虽然操作系统级别的证书验证工作正常(如curl命令可以成功访问API),但rancher-system-agent服务无法建立安全连接。

技术分析

根本原因

该问题源于Rancher v2.9.x版本引入的严格TLS验证机制。Harvester v1.4.0使用了Rancher v2.9.2来管理本地集群,默认启用了CATTLE_AGENT_STRICT_VERIFY环境变量。

关键变化点包括:

  1. rancher-system-agent服务配置中新增了CATTLE_AGENT_STRICT_VERIFY=true参数
  2. Rancher新增了agent-tls-mode设置,默认值为"strict"
  3. 当使用自定义CA证书时,agent无法自动识别系统证书存储中的CA证书

验证过程

通过检查发现:

  1. 节点上的/var/lib/rancher/agent/rancher2_connection_info.json文件中仍包含默认的"dynamiclistener" CA证书
  2. 虽然操作系统信任存储中已正确添加自定义CA证书,但rancher-system-agent未使用系统证书存储
  3. 手动修改连接信息文件中的CA证书后,节点可以成功加入

解决方案

临时解决方案

对于已部署的环境,可以通过以下步骤解决:

  1. 登录第一个节点
  2. 修改agent-tls-mode设置为"system-store"
apiVersion: management.cattle.io/v3
kind: Setting
metadata:
  name: agent-tls-mode
value: "system-store"

永久修复方案

Harvester团队已在v1.4.2和v1.5.0版本中修复此问题,主要变更包括:

  1. 默认将agent-tls-mode设置为"system-store"
  2. 确保自定义CA证书能被rancher-system-agent正确识别和使用

版本影响

  • 受影响版本:Harvester v1.4.0至v1.4.1
  • 已修复版本:v1.4.2及更高版本
  • 不影响版本:v1.3.x系列(使用Rancher v2.8.5,未引入严格TLS验证)

最佳实践建议

  1. 对于生产环境,建议直接升级到v1.4.2或更高版本
  2. 如果必须使用v1.4.0/1.4.1,应在部署第一个节点后立即修改agent-tls-mode设置
  3. 确保自定义证书包含管理VIP的CN或SAN条目
  4. 在加入节点前验证系统证书存储是否已正确加载自定义CA证书

技术深度解析

该问题揭示了嵌入式Rancher与Harvester集成时的一个关键配置点。Rancher v2.9引入的严格TLS验证本意是提高安全性,但在Harvester这种特殊部署场景下,需要更灵活的证书验证策略。

"system-store"模式允许agent使用操作系统提供的证书存储,这既保持了安全性,又兼容了用户自定义CA的需求。这种设计平衡了安全性和灵活性,是云原生系统证书管理的典型实践。

登录后查看全文
热门项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
153
1.98 K
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
505
42
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
194
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
992
395
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
938
554
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
333
11
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70