Actions Runner Controller 中自签名证书导致的Runner连接问题解析

问题背景

在使用Actions Runner Controller项目部署自托管Runner时，当企业GitHub服务器使用自签名证书时，Runner Pod可能会出现无法自动获取作业的问题。具体表现为Runner Pod能够正常启动，也能感知到待处理作业，但在建立SSL连接时会出现PartialChain错误，导致无法自动执行作业。

问题现象

部署环境为AKS集群，GitHub企业服务器版本为3.12.4，配置了自定义自签名证书用于身份验证。虽然控制器和监听器Pod能够正常启动且不显示错误，但Runner Pod在尝试获取作业时出现SSL连接问题。

技术分析

根本原因

PartialChain错误通常发生在SSL/TLS握手过程中，表明客户端无法构建完整的证书信任链。在自签名证书场景下，这种情况尤为常见，原因可能包括：

1. 中间证书缺失
2. 根证书未正确安装到信任存储
3. 证书链顺序不正确
4. 证书路径配置不当

解决方案验证

通过手动进入Runner Pod执行run.sh脚本可以成功获取并运行作业，这一现象说明：

1. Runner核心功能本身是正常的
2. 问题出在自动运行时的证书验证环节
3. 证书文件本身是可用的，但可能安装位置或信任链配置不正确

配置建议

对于使用自签名证书的企业GitHub服务器，建议采用以下配置方式：

1. 证书存储位置：确保证书安装在Runner Pod的/etc/ssl/certs/目录下
2. 证书完整性：验证自签名证书包含完整的证书链（包括中间证书和根证书）
3. 配置映射：通过Kubernetes ConfigMap将证书挂载到Runner Pod

最佳实践

1. 使用完整的证书链文件，包含终端实体证书、中间证书和根证书
2. 确保证书文件采用PEM格式
3. 在部署前使用openssl verify命令验证证书链完整性
4. 考虑使用证书捆绑(bundle)文件简化部署

总结

自签名证书在企业内部部署中很常见，但需要特别注意证书链的完整性。通过正确的证书配置和部署方法，可以确保Actions Runner Controller的Runner Pod能够正常与GitHub企业服务器建立安全连接并自动获取作业。对于遇到类似问题的用户，建议首先检查证书链是否完整，然后验证证书在Runner Pod中的安装位置是否正确。