事象
Kubernetesのワーカーノードでjournalctlやsystemctl status kubeletでこんな感じのログが大量発生しました。
Current certificate CN (kubelet) does not match requested CN (system:node:xxx)
対処方
CSR名を洗い出し
kubectl get csr | grep Pending
承認する
kubectl certificate approve csr-xxxxx
※PendingのCSRが出なくなるまで繰り返し
原因
多分、kubeletの--rotate-server-certificatesパラメータが原因。
CSR承認しろって書いてあった。
Requires the RotateKubeletServerCertificate feature gate to be enabled, and approval of the submitted CertificateSigningRequest objects.
余談
ApproveしたCSRはしばらくするとkubectl get csrで見られなくなるので、エビデンス求められるなら早めにとった方が良さげ
確認した環境
OKE v1.27.2
デフォルトでは--rotate-server-certificates入っていないが、カスタムして入れました