Unable to connect to the server: x509: certificate is valid for问题解决

环境描述

• Kubernetes版本1.15
• 测试客户端centos7

问题描述

1. 将构建于内网网络环境上的kubernetes集群的/etc/kubernetes/admin.conf文件拷贝到外网的一台装有kubernetes客户端的设备上，文件内容放到外网设备的~/.kube/config文件中
2. 然后修改config文件中的server: https://${ip}:6443中的ip为kubernetes集群的master设备的外网IP
3. 然后使用kubectl get pods 等方法去访问构建于内网IP的kubernetes集群
4. 反馈结果Unable to connect to the server: x509: certificate is valid for ${kubernetes集群的内网IP列表}, not ${kubernetes集群的master设备的外网IP}

问题原因

我们的kubernetes的apiserver-advertise-address是一个内网IP，默认情况下，kubernetes自建的CA会为apiserver签发一个证书，证书的默认可访问的是内网IP、kubernetes、kubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local，不包含设备的外网IP。所以直接通过admin.conf去访问kubernetes是不可能的。

解决方案

1. 删除当前kubernetes集群下的apiserver的cert和key
   rm /etc/kubernetes/pki/apiserver.*
2. 生成新的apiserver的cert和key
   kubeadm init phase certs apiserver --apiserver-advertise-address ${原来的advertise ip} --apiserver-cert-extra-sans ${master的外网ip}
3. 刷新admin.conf
   kubeadm alpha certs renew admin.conf
4. 重启apiserver（可以先delete在apply）

kubectl delete pod ${你的apiserver的pod} –n kube-system
kubectl delete –f /etc/kubernetes/manifests/kube-apiserver.yaml
kubectl apply -f /etc/kubernetes/manifests/kube-apiserver.yaml
1
2
3

5. 在另一台装有kubernetes客户端的设备中，使用新生成的admin.conf访问集群
   kubectl get nodes

额外问题

问题描述

通过/etc/kubernetes/admin.conf去访问某个kubernetes集群时，报错Unable to connect to the server: x509: certificate has expired or is not yet valid

问题解决方案

通过如下命令查看kubernetes的admin.conf中的证书的有效期，看是否有效
openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text

==================================================

新问题

通过如上方式，重新进行尝试时，发现有的时候，删除pod之后重新reply不管用

新问题的解决方案
修改完apiserver的证书，更新admin.conf后，重启master所在设备，可以解决这个问题