在 Ubuntu 16.04 上安装 Kubernetes 时服务器证书验证失败

Question

我正在设置一个 Kubernetes 集群，作为其中的一部分，我运行了以下命令（在官方文档中提到：https://kubernetes.io/docs/tasks/tools/install-kubectl/）：

sudo apt-get update && sudo apt-get install -y apt-transport-https

但是，它失败并出现以下错误：

Err:3 https://packages.cloud.google.com/apt kubernetes-xenial/main amd64 Packages
  server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none

现在，我使用以下命令获取证书：

ex +'/BEGIN CERTIFICATE/,/END CERTIFICATE/p' <(echo | openssl s_client -showcerts -connect packages.cloud.google.com:443) -scq > kubecertificate.crt

我收到以下回复：

verify error:num=20:unable to get local issuer certificate
DONE

但由于我在 kubecertificate.crt 文件中看到了内容，因此我继续将证书复制到 /usr/local/share/ca-certificates/ 目录中。

然后我运行：

update-ca-certificates

更新我的 ca 证书包后，我重新运行提到的第一个命令。

再次失败，出现服务器证书验证失败错误。

请帮助我了解我哪里出错了？是因为我无法获得本地颁发者证书吗？请帮忙。

Answer 1

您使用的是 i386 映像还是涉及一些防火墙？如果是64位的Xenial，那肯定是系统问题。

看看这个case。特别是我会按照@davidthings 的建议检查当前系统时间date -R 和apt-get install NTP，因为我记得有类似的问题。链接案例中列出了许多不同的解决方案可以提供帮助 - 检查哪一个适用于您，如果成功则更新。

之后，您可以尝试下载 kubectl、kubelet 和 kubeadm（如果您只需要一个，也可以相应地进行编辑）

curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add - cat <<EOF >/etc/apt/sources.list.d/kubernetes.list deb http://apt.kubernetes.io/ kubernetes-xenial main EOF sudo apt-get update sudo apt-get install -y kubelet kubeadm kubectl