事象
Kubernetesのワーカーノードでjournalctl
やsystemctl status kubelet
でこんな感じのログが大量発生しました。
Current certificate CN (kubelet) does not match requested CN (system:node:xxx)
対処方
CSR名を洗い出し
kubectl get csr | grep Pending
承認する
kubectl certificate approve csr-xxxxx
※PendingのCSRが出なくなるまで繰り返し
原因
多分、kubeletの--rotate-server-certificates
パラメータが原因。
CSR承認しろって書いてあった。
Requires the RotateKubeletServerCertificate feature gate to be enabled, and approval of the submitted CertificateSigningRequest objects.
余談
ApproveしたCSRはしばらくするとkubectl get csr
で見られなくなるので、エビデンス求められるなら早めにとった方が良さげ
確認した環境
OKE v1.27.2
デフォルトでは--rotate-server-certificates
入っていないが、カスタムして入れました