Назад | Перейти на главную страницу

Проблемы с установлением связи TLS с etcd

Мы используем внешний кластер etcd для кластера k8s. Мы подключили мастер к этому серверу etcd, но получили

"tls: first record does not look like a TLS handshake"

Как исправить эту проблему? (для стороны eksctl все работает правильно на серверах etcd с одинаковыми сертификатами)

ETCDCTL_API=3 /usr/local/bin/etcdctl member list   --endpoints=https://127.0.0.1:2379   --cacert=/etc/etcd/ca.crt   --cert=/etc/etcd/etcd-server.crt   --key=/etc/etcd/etcd-server.key
    b1fa8ebad0f4fa6, started, etcd-kube-cluster-1, https://10.105.113.*:2380, https://10.105.113.*:2379, false
    984a08591dda4911, started, etcd-kube-cluster-3, https://10.105.114.*:2380, https://10.105.114.*:2379, false
    b55b37a2544c7daa, started, etcd-kube-cluster-2, https://10.105.113.*:2380, https://10.105.113.*:2379, false

Манифест сервера kube-api обновлен с такими же сертификатами

Сообщение об ошибке означает, что сервер ETCD отклоняет ваше соединение из-за сертификата или CN в URL-адресе недействителен для настроенного сертификата.

Я предполагаю, что проблема связана с subjectAltName или CN, настроенными на сервере etcd, вы не могли включить 127.0.0.1 IP в subjectAltName сертификата etcd-server. Вы можете использовать любой из двух вариантов ниже, чтобы заставить его работать.

  1. Если вы хотите подключиться с использованием IP 127.0.0.1, этот адрес необходимо добавить как subjectAltName в сертификате сервера etcd.
  2. Я предполагаю, что вы уже добавили все IP-адреса серверов etcd как subjectAltName, поэтому попробуйте подключиться, используя IP / DNS-имя сервера etcd (вместо 127.0.0.1).

Спасибо,