国内海外服务器测评及优惠
Linux服务器运维救灾服务
Hi, 请登录     我要注册     找回密码
当前位置:linuxcto运维 服务器运维 正文

metrics-server 启动失败 "x509: certificate is valid for 10.43.0.1"

2026-01-18 分类:服务器运维 阅读(24) 评论(0)

metrics-server 与 API Server TLS 连接失败的根本原因是 API Server 证书缺失 ClusterIP(如 10.43.0.1)的 SAN 条目;可通过检查证书 SAN、临时启用 USE_HTTP=true 或更新 kube-apiserver 证书并添加 tls-san 配置来解决。

这是 metrics-server 与 Kubernetes API Server 建立 TLS 连接时的证书校验失败问题。根本原因是 metrics-server 启动时尝试用 HTTPS 访问 API Server(通常是 https://10.43.0.1:443),但 API Server 的服务证书(通常由 kube-apiserver 生成或由集群 CA 签发)中没有把 10.43.0.1 列为有效 DNS 名称或 IP Subject Alternative Name(SAN),导致 Go 的 TLS 客户端拒绝连接。

确认 API Server 证书是否包含 10.43.0.1

该 IP 通常是 Kubernetes Service 的 ClusterIP(如 kubernetes 服务),默认是 10.43.0.1(Rancher/K3s 常见;标准 kubeadm 集群可能是 10.96.0.1)。你需要检查 kube-apiserver 实际使用的证书:

  • 登录 master 节点,查看 kube-apiserver 启动参数中的 --tls-cert-file(如 /var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt
  • 运行:
    openssl x509 -in /path/to/serving-kube-apiserver.crt -text -noout | grep -A1 "Subject Alternative Name"
  • 若输出中没有 IP Address:10.43.0.1,就确认是 SAN 缺失问题

临时解决:跳过证书校验(仅测试环境)

不推荐生产使用,但可快速验证是否为证书问题:

Canva旗下AI文案生成器

  • 在 metrics-server 的 Deployment 中,给容器添加启动参数:
    --kubelet-insecure-tls(跳过 kubelet 证书校验)
    --requestheader-client-ca-file=(清空 requestheader CA,避免聚合 API 校验干扰)
  • 更关键的是让 metrics-server 使用 http 访问 API Server(绕过 TLS):
    添加:
    USE_HTTP=true
    并确保 metrics-server 镜像支持该变量(较新版本如 v0.6.3+ 支持)

正确修复:更新 API Server 证书(推荐)

让 kube-apiserver 证书包含正确的 ClusterIP 和 DNS 名称:

  • K3s:编辑 /etc/rancher/k3s/config.yaml,加入:
    tls-san:
    - "10.43.0.1"
    - "kubernetes.default.svc"
    然后重启 k3s:sudo systemctl restart k3s
  • kubeadm:修改 kubeadm-config.yamlclusterConfiguration.certificatesDirapiServer.certSANs,追加 IP 和域名,再执行 kubeadm init phase certs apiserver --config=kubeadm-config.yaml 并重启 kube-apiserver
  • Rancher RKE:在 cluster.ymlservices.kube-api.extra_args 中添加:
    --tls-cert-file=/etc/kubernetes/ssl/kube-apiserver.pem
    并确保生成证书时已包含对应 SAN(可通过 rke cert rotate --rotate-ca 重建)

替代方案:改用 DNS 名称访问 API Server

metrics-server 默认通过 ClusterIP 连接,但也可显式指定 DNS 地址(如 https://kubernetes.default.svc),前提是该域名解析正常且证书中包含该 SAN:

  • 在 metrics-server Deployment 中添加参数:
    --master=https://kubernetes.default.svc
  • 确保 kubernetes.default.svc 的证书 SAN 包含该域名(绝大多数标准集群默认已包含)
  • 可配合 --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname 提升节点地址识别稳定性
AD:【鸟朝天CDN】专业过移动屏蔽加速|免实名|T级高防|海外防DDOS
赞(0) 打赏
未经允许不得转载:linuxcto运维 » metrics-server 启动失败 "x509: certificate is valid for 10.43.0.1"
分享到

相关推荐

置顶推荐

热门标签

Apache centos CentOS6.5 CentOS7 Docker Eth0 Firewall httpd ip IP地址 jdk LAMP Linux LNMP mysql NFS nginx php phpMyAdmin Python redis root ssh SVN tomcat vmware vmware安装centos VPS vsftpd YUM 云服务器 安装 开机启动 挂载 服务器 服务器搭建 端口 编译安装 网卡 网络配置 虚拟机 配置 防火墙 阿里云 静态IP

热门文章

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫