Harvester项目中使用自定义CA证书时节点加入失败的解决方案分析

问题背景

在Harvester集群环境中，当管理员尝试使用自定义CA证书配置集群时，发现第二个节点无法成功加入已建立的集群。这是一个典型的证书信任链问题，在分布式系统部署过程中较为常见。

问题现象

当用户按照标准流程部署Harvester集群时，如果配置了自定义CA证书，会出现以下异常情况：

1. 第一个节点能够正常启动并形成集群
2. 后续节点在尝试加入集群时失败
3. 日志中会出现与证书验证相关的错误信息

技术分析

该问题的根本原因在于Rancher嵌入式部署的证书信任机制。Harvester作为基于Rancher的解决方案，其节点间通信需要建立安全的TLS连接。当使用自定义CA证书时，系统默认采用"strict"模式进行证书验证，这要求所有证书必须完全匹配且由可信CA签发。

在技术实现层面，问题具体表现为：

1. 系统生成的YAML配置文件中包含转义后的JSON格式ssl-certificates值
2. 节点间的TLS握手过程因证书信任链不完整而失败
3. 嵌入式Rancher部署未正确识别自定义CA证书

解决方案

开发团队通过以下方式解决了该问题：

1. 修改默认TLS验证模式：将agent-tls-mode从"strict"改为"system-store"，允许系统使用操作系统内置的证书存储进行验证

2. 优化证书处理逻辑：确保在集群创建阶段正确生成包含自定义CA证书的配置文件

3. 完善证书注入机制：保证所有节点能够获取并信任相同的CA证书链

验证结果

在修复后的v1.4.2-rc1版本中验证表明：

• 第二个节点能够正常加入集群
• 集群创建时生成的YAML配置文件包含正确的证书配置
• 嵌入式Rancher部署正确识别了agent-tls-mode设置
• 系统稳定性和安全性未受影响

最佳实践建议

对于需要在生产环境部署Harvester并使用自定义CA证书的用户，建议：

1. 确保所有节点使用相同版本的Harvester
2. 在部署前统一配置所有节点的系统证书存储
3. 验证agent-tls-mode设置是否为"system-store"
4. 对于关键业务环境，建议先在小规模测试环境中验证证书配置

该问题的解决显著提升了Harvester在自定义安全环境中的部署灵活性，为企业在严格安全合规要求下的应用提供了更好的支持。