Kubespray项目升级Kubernetes集群时外部ETCD证书路径问题解析

问题背景

在使用Kubespray进行Kubernetes集群升级时（特别是从1.29.x升级到1.30.x版本），当集群采用外部ETCD部署架构时，可能会遇到一个典型的证书路径问题。具体表现为升级过程中kubeadm工具尝试访问错误的证书文件路径，导致升级失败。

问题现象

升级过程中控制台会报出类似错误：

[upgrade/apply] FATAL: failed to create etcd client for external etcd: open /etc/ssl/etcd/ssl/node-master03.pem

深入分析发现，kubeadm工具在执行升级时，会从kube-system命名空间下的kubeadm-config ConfigMap中读取ETCD客户端证书配置。在异常情况下，该配置可能指向集群中最后一个控制平面节点（如master03）的证书文件，而非当前正在升级的节点（如master01）的证书。

根本原因

该问题的产生涉及多个技术层面的交互：

1. 配置生成机制：Kubespray在生成集群配置时，会遍历所有控制平面节点，而最终的ConfigMap配置可能保留了最后一个节点的证书引用。

2. 证书分发策略：在外部ETCD架构中，各控制平面节点通常只包含自身的ETCD客户端证书，而不会包含其他节点的证书文件。

3. kubeadm行为变更：近期kubeadm版本调整了升级时的配置读取逻辑，更依赖集群现有的ConfigMap而非临时生成的配置文件。

解决方案

临时解决方案

对于已经出现问题的集群，可以采取以下步骤：

1. 检查并编辑kubeadm-config ConfigMap：

kubectl edit cm kubeadm-config -n kube-system

2. 修改ETCD客户端证书配置，确保指向第一个控制平面节点的证书：

etcd:
  external:
    caFile: /etc/ssl/etcd/ssl/ca.pem
    certFile: /etc/ssl/etcd/ssl/node-master01.pem
    keyFile: /etc/ssl/etcd/ssl/node-master01-key.pem

3. 确认第一个控制平面节点的证书文件存在于所有控制平面节点的相应目录中。

长期解决方案

从Kubespray项目层面，建议采取以下改进措施：

1. 配置生成逻辑优化：确保生成的kubeadm-config ConfigMap始终引用第一个控制平面节点的证书配置。

2. 证书分发策略调整：在外部ETCD架构中，考虑将第一个控制平面节点的ETCD客户端证书分发到所有控制平面节点。

3. 升级前检查机制：在升级流程中增加配置验证步骤，提前发现潜在的证书路径问题。

技术细节深入

配置管理机制

Kubernetes集群的配置信息主要通过两种方式管理：

1. 静态Pod清单：位于/etc/kubernetes/manifests/目录下，包含kube-apiserver等核心组件的启动参数。这些文件通常包含正确的节点特定证书路径。

2. 集群配置：存储在kubeadm-config ConfigMap中，作为集群级别的统一配置。正是这个统一配置导致了跨节点证书引用问题。

证书体系结构

在外部ETCD部署模式下，证书体系通常包含以下层次：

1. ETCD节点证书：用于ETCD节点间的相互认证
2. 客户端证书：用于Kubernetes组件访问ETCD集群
   • 每个控制平面节点拥有独立的客户端证书
   • 证书通常存储在/etcd/ssl/目录下

最佳实践建议

1. 升级前检查：执行升级前，务必检查kubeadm-config ConfigMap中的ETCD配置。

2. 证书管理：建立规范的证书分发和验证流程，确保关键证书的可用性。

3. 版本兼容性：关注Kubespray和kubeadm的版本兼容性说明，特别是涉及配置逻辑变更的版本。

4. 环境一致性：确保测试环境与生产环境的架构一致性，提前发现潜在问题。

总结

Kubespray项目在管理Kubernetes集群升级时，外部ETCD架构下的证书路径问题是一个需要特别注意的技术点。理解其背后的配置管理机制和证书体系结构，有助于运维人员快速定位和解决问题。随着Kubernetes生态的持续演进，建议密切关注相关工具链的更新和改进，以获取更稳定可靠的集群管理体验。