隔离 Azure Kubernetes 服务 (AKS) SSL 错误

Question

我在一个隔离的服务器上部署了一个舵图，并在自签名证书 HTTPS 中发布它到 kube-api 它失败并出现以下错误：

curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL 连接到 kubernetes.default.svc:443

有人看过吗？这是“POST”：

echo "Creating a secret for the certificate and keys"
 STATUS=$(curl -ik \
            -o ${TMP_DIR}/output \
            -w "%{http_code}" \
            -X POST \
            -H "Authorization: Bearer $TOKEN" \
            -H 'Accept: application/json' \
            -H 'Content-Type: application/json' \
            -d '{
            "kind": "Secret",
            "apiVersion": "v1",
            "metadata": {
              "name": "spark-webhook-certs",
              "namespace": "'"$NAMESPACE"'"
            },
            "data": {
              "ca-cert.pem": "'"$ca_cert"'",
              "ca-key.pem": "'"$ca_key"'",
              "server-cert.pem": "'"$server_cert"'",
              "server-key.pem": "'"$server_key"'"
            }
           }' \
           https://kubernetes.default.svc/api/v1/namespaces/${NAMESPACE}/secrets 

错误是由于自签名证书的 .sh 被此处的 docker image 命令调用：https://github.com/GoogleCloudPlatform/spark-on-k8s-operator/blob/master/hack/gencerts.sh

我知道它还没有走到尽头，因为它没有泄露它试图发布的秘密。你们都认为我应该从哪里开始排除故障？我在这里发布了其他信息，包括屏幕截图：https://github.com/GoogleCloudPlatform/spark-on-k8s-operator/issues/926

Answer 1

我会尝试更新gencerts.sh 的内容以获取有关错误的更多上下文：

1. 将-v 或--verbose 选项添加到curl 命令。
2. 使用strace 调用curl 命令

这两个选项都会向stderr 发送更多输出，因此您应该能够在日志中检查并更好地了解故障模式。公平警告：strace 将产生大量输出。

另一个信息来源是 kube-apiserver 日志。您需要通过调整集群配置来enable collection of master logs。您应该期望 kube-apiserver 记录每个 API 请求。

这里的第一个问题是控制平面是否接收到请求。为了解决这个问题，我会在集群内的容器上获得一个 shell，并尝试重新创建 gencerts.sh 正在发出的 curl 请求。在 kubernetes 文档中有一些关于 accessing the cluster API without kubectl 的信息。