Harvester集群节点加入失败问题排查与SSL证书配置指南

问题现象

在Harvester 1.4.0版本环境中，当尝试向现有集群添加第二个节点时，新节点无法正常加入集群。系统日志显示新节点与Kubernetes API Server建立TLS连接时出现证书验证失败的错误：

tls: failed to verify certificate: x509: certificate signed by unknown authority

根本原因分析

该问题通常发生在以下场景：

1. 集群使用了自定义CA签发的SSL证书
2. 新节点未正确配置对私有CA证书的信任
3. 通过域名方式加入节点时，证书的SAN(Subject Alternative Name)未包含对应域名

解决方案

方法一：配置节点信任私有CA

1. 将私有CA证书文件复制到新节点的指定目录：

   /etc/pki/trust/anchors/harvester-ca.pem
   

2. 更新系统证书信任库：

   update-ca-certificates
   

3. 重启相关服务：

   systemctl restart rancher-system-agent
   

方法二：使用IP地址加入节点

如果证书未配置对应域名，可以通过管理节点IP地址方式加入：

1. 在节点安装界面指定管理节点的IP地址而非域名
2. 确保证书中包含该IP地址作为SAN

方法三：重新配置集群证书

1. 在Harvester管理界面更新证书，确保包含：

   • 所有节点IP地址
   • 使用的域名
   • 集群内部使用的服务名称

2. 使用包含完整SAN信息的证书重新配置集群

最佳实践建议

1. 部署前规划好证书方案，建议使用以下SAN配置：

   • 管理节点IP
   • 所有可能使用的域名
   • 服务名称(如kubernetes.default.svc)

2. 对于生产环境，建议：

   • 使用专业CA机构签发的证书
   • 确保证书有效期足够长
   • 维护完整的证书更新流程

3. 测试环境可考虑：

   • 使用自签名证书时提前部署CA到所有节点
   • 使用IP地址简化证书配置

验证步骤

1. 检查节点连接状态：

   kubectl get nodes
   

2. 验证证书信任链：

   openssl s_client -connect <管理节点>:443 -showcerts
   

3. 检查系统服务状态：

   systemctl status rancher-system-agent
   

通过以上方法，可以解决因SSL证书配置不当导致的节点加入失败问题，确保Harvester集群的稳定运行。