Harvester集群节点加入失败问题分析与解决方案

问题描述

在使用Harvester v1.4.0版本构建集群时，当管理员在UI界面添加了SSL证书后，新节点无法正常加入集群。系统日志显示新节点不断尝试但失败，主要报错信息为"Aborting system-agent installation due to requested strict CA verification with no CA checksum provided"。

问题背景

Harvester是一个基于Kubernetes的轻量级虚拟化管理平台，其核心组件rancherd负责节点的加入和管理。当配置了自定义SSL证书后，系统会启用严格的CA验证机制，但这一机制在新节点加入时出现了验证流程不完整的问题。

技术分析

1. 证书验证机制：系统在检测到SSL证书配置后，自动启用了CATTLE_AGENT_STRICT_VERIFY严格验证模式
2. 验证流程缺陷：新节点加入时，系统要求提供CA校验和(CA checksum)，但安装流程中未能正确传递这一参数
3. 错误表现：系统日志显示验证失败，导致rancherd服务不断重试但无法完成节点加入过程

解决方案

临时解决方案

在新节点上创建服务覆盖配置文件：

cat > /etc/systemd/system/rancherd.service.d/override.conf <<EOF
[Service]
Environment=CATTLE_AGENT_STRICT_VERIFY=false
EOF

systemctl daemon-reload
systemctl restart rancherd.service

此方案通过禁用严格验证模式，允许节点绕过CA校验和验证加入集群。

长期解决方案建议

1. 等待官方修复版本发布，解决CA校验和传递问题
2. 考虑在集群初始化前预先配置好所有节点的证书验证参数
3. 对于生产环境，建议测试新版本后再进行大规模部署

影响范围

该问题主要影响以下场景：

• 使用自定义SSL证书的Harvester v1.4.0集群
• 集群扩容时添加新节点的操作
• 使用Let's Encrypt等自动证书管理工具的环境

最佳实践建议

1. 在部署前充分测试证书配置流程
2. 考虑在/oem/90_custom.yaml中预配置验证参数
3. 保持系统组件版本更新，及时应用修复补丁
4. 对于关键业务环境，建议先在小规模测试集群验证节点加入流程

总结

Harvester集群在配置SSL证书后出现的新节点加入问题，源于证书验证流程中的参数传递缺陷。通过临时禁用严格验证模式可以解决问题，但长期来看需要等待官方修复。管理员在部署时应充分了解这一限制，并做好相应的预案准备。