Harvester项目升级故障排查：managed chart未就绪问题解析

问题现象

在Harvester集群从1.4.1版本升级到1.4.2版本的过程中，系统提示"admission webhook validator.harvesterhci.io拒绝请求：托管chart harvester未就绪，请等待其准备完成"。通过检查发现fleet-local命名空间下的mcc-harvester bundle处于Modified状态，且包含证书配置变更。

技术背景

Harvester作为基于Kubernetes的HCI解决方案，其升级过程依赖于Rancher Fleet管理的托管chart。当系统检测到托管chart未达到就绪状态时，作为安全机制会阻止升级操作继续执行。这种情况通常发生在：

1. 证书配置发生变更但未完全同步
2. 验证webhook配置更新未完成
3. 集群组件间的协调过程出现延迟

根本原因分析

从技术细节来看，问题源于snapshot-validation-webhook相关资源的变更：

• kube-system命名空间下的TLS证书secret被修改
• validatingwebhookconfiguration配置发生变更
• 这些变更导致系统认为托管chart处于不稳定状态

解决方案

1. 手动编辑托管chart配置：

kubectl edit managedchart -n fleet-local harvester

2. 在spec中添加forceUpgrade配置段：

spec:
  forceUpgrade: true

3. 保存变更后，系统将允许继续升级流程

技术原理

forceUpgrade标志会：

• 跳过托管chart的就绪检查
• 强制继续升级操作
• 适用于已知安全且需要紧急升级的场景

最佳实践建议

1. 执行升级前检查所有托管chart状态
2. 对于生产环境，建议先备份关键配置
3. 升级完成后验证所有组件状态
4. 监控系统日志确保升级后各服务正常运行

总结

Harvester的升级安全机制虽然可能导致临时中断，但能有效防止配置不完整导致的系统问题。通过理解其工作原理，管理员可以安全地处理此类升级障碍，确保集群平稳过渡到新版本。