Harvester项目中使用自定义CA证书导致节点加入失败问题分析

问题背景

在Harvester v1.4.0版本中，当用户配置了自定义CA证书后，尝试向集群添加额外节点时会出现加入失败的情况。这一问题主要影响使用自定义SSL证书的生产环境部署场景。

问题现象

当第一个节点配置了自定义CA证书后，后续节点在加入过程中会报错：

error while connecting to Kubernetes cluster: Get "https://192.168.60.155/version": tls: failed to verify certificate: x509: certificate signed by unknown authority

虽然操作系统级别的证书验证工作正常（如curl命令可以成功访问API），但rancher-system-agent服务无法建立安全连接。

技术分析

根本原因

该问题源于Rancher v2.9.x版本引入的严格TLS验证机制。Harvester v1.4.0使用了Rancher v2.9.2来管理本地集群，默认启用了CATTLE_AGENT_STRICT_VERIFY环境变量。

关键变化点包括：

1. rancher-system-agent服务配置中新增了CATTLE_AGENT_STRICT_VERIFY=true参数
2. Rancher新增了agent-tls-mode设置，默认值为"strict"
3. 当使用自定义CA证书时，agent无法自动识别系统证书存储中的CA证书

验证过程

通过检查发现：

1. 节点上的/var/lib/rancher/agent/rancher2_connection_info.json文件中仍包含默认的"dynamiclistener" CA证书
2. 虽然操作系统信任存储中已正确添加自定义CA证书，但rancher-system-agent未使用系统证书存储
3. 手动修改连接信息文件中的CA证书后，节点可以成功加入

解决方案

临时解决方案

对于已部署的环境，可以通过以下步骤解决：

1. 登录第一个节点
2. 修改agent-tls-mode设置为"system-store"

apiVersion: management.cattle.io/v3
kind: Setting
metadata:
  name: agent-tls-mode
value: "system-store"

永久修复方案

Harvester团队已在v1.4.2和v1.5.0版本中修复此问题，主要变更包括：

1. 默认将agent-tls-mode设置为"system-store"
2. 确保自定义CA证书能被rancher-system-agent正确识别和使用

版本影响

• 受影响版本：Harvester v1.4.0至v1.4.1
• 已修复版本：v1.4.2及更高版本
• 不影响版本：v1.3.x系列（使用Rancher v2.8.5，未引入严格TLS验证）

最佳实践建议

1. 对于生产环境，建议直接升级到v1.4.2或更高版本
2. 如果必须使用v1.4.0/1.4.1，应在部署第一个节点后立即修改agent-tls-mode设置
3. 确保自定义证书包含管理VIP的CN或SAN条目
4. 在加入节点前验证系统证书存储是否已正确加载自定义CA证书

技术深度解析

该问题揭示了嵌入式Rancher与Harvester集成时的一个关键配置点。Rancher v2.9引入的严格TLS验证本意是提高安全性，但在Harvester这种特殊部署场景下，需要更灵活的证书验证策略。

"system-store"模式允许agent使用操作系统提供的证书存储，这既保持了安全性，又兼容了用户自定义CA的需求。这种设计平衡了安全性和灵活性，是云原生系统证书管理的典型实践。