Definisi Resource Kustom (CRD)
adalah alat yang canggih untuk memperluas kemampuan Kubernetes.
Namun, jika CRD berisi paket Certificate Authority (CA) yang tidak valid atau salah format dalam konfigurasi webhook konversinya spec.conversion.webhook.clientConfig.caBundle, hal ini dapat mengganggu operasi cluster. Masalah ini dapat muncul sebagai error selama pembuatan, pembaruan, atau penghapusan resource, yang memengaruhi stabilitas dan performa cluster Anda.
Untuk mencegah masalah ini, Google Kubernetes Engine (GKE) secara otomatis mendeteksi CRD dengan paket CA yang tidak valid dan membuat rekomendasi. Gunakan dokumen ini untuk menemukan rekomendasi, mengidentifikasi CRD yang salah dikonfigurasi, dan memperbaruinya.
Informasi ini penting bagi admin dan operator Platform serta pengguna lain yang mengelola CRD dan resource kustom di GKE.
Mengidentifikasi cluster yang terpengaruh
Untuk mendapatkan insight yang mengidentifikasi cluster yang terpengaruh oleh CRD dengan paket CA yang tidak valid, ikuti
petunjuk untuk melihat insight dan rekomendasi untuk subjenis K8S_CRD_WITH_INVALID_CA_BUNDLE. Anda bisa mendapatkan insight dengan cara berikut:
- Menggunakan Cloud de Confiance konsol.
- Menggunakan pemfilteran Google Cloud CLI atau Recommender API, dengan subjenis
K8S_CRD_WITH_INVALID_CA_BUNDLE.
Setelah Anda mengidentifikasi CRD menggunakan insight, ikuti petunjuk untuk memecahkan masalah paket CA yang salah dikonfigurasi.
Kapan GKE mendeteksi CRD yang salah dikonfigurasi
GKE menghasilkan insight dan rekomendasi dengan subjenis K8S_CRD_WITH_INVALID_CA_BUNDLE jika cluster GKE memiliki satu atau beberapa CRD yang melaporkan caBundle yang salah dikonfigurasi untuk konfigurasi klien webhook di spec.conversion.webhook.clientConfig.
Ikuti petunjuk untuk memeriksa CRD dengan paket CA yang salah dikonfigurasi.
Memecahkan masalah CRD yang terdeteksi
Bagian berikut berisi petunjuk bagi Anda untuk memecahkan masalah CRD yang dideteksi berpotensi salah dikonfigurasi oleh GKE.
Setelah Anda menerapkan petunjuk dan CRD yang dikonfigurasi dengan benar, rekomendasi akan diselesaikan dalam waktu 24 jam dan tidak lagi muncul di konsol. Jika belum 24 jam sejak Anda menerapkan panduan rekomendasi, Anda dapat menandai rekomendasi sebagai diselesaikan. Jika tidak ingin menerapkan rekomendasi, Anda dapat menolak nya.
Mengidentifikasi CRD yang terpengaruh dalam cluster
Lihat insight dan rekomendasi untuk subjenis
K8S_CRD_WITH_INVALID_CA_BUNDLE, pilih insight satu per satu untuk memecahkan masalah. GKE menghasilkan satu insight per cluster yang memiliki CRD yang rusak.Jalankan perintah berikut untuk menjelaskan Layanan guna menemukan CRD dengan paket CA yang berpotensi bermasalah:
kubectl get crd -o custom-columns=NAME:.metadata.name,CABUNDLE:.spec.conversion.webhook.clientConfig.caBundleMenghasilkan output yang mencakup:
- Nama: Nama CRD.
- CaBundle: Paket CA yang terkait dengan konversi CRD webhook, jika ada. Periksa output. Jika kolom caBundle kosong untuk CRD yang Anda ketahui menggunakan webhook konversi, hal ini menandakan potensi masalah dengan caBundle.
Membuat ulang CRD
Untuk mengatasi error ini, buat ulang CRD yang terpengaruh dengan paket CA yang valid:
Buat cadangan resource kustom yang ada dan terkait dengan CRD yang bermasalah ini, jika ada. Jalankan perintah berikut untuk mengekspor resource yang ada:
kubectl get <crd-name> -o yaml > backup.yamlHapus CRD yang ada:
kubectl delete crd <crd-name>Pastikan kolom
caBundleCRD berisi sertifikat PEM berenkode base-64 yang terbentuk dengan baik. Anda dapat melakukannya dengan mengedit CRD secara langsung atau menghubungi penulisnya.Ubah definisi YAML CRD, perbarui kolom
spec.conversion.webhook.clientConfig.caBundledengan data paket CA yang valid. Hasilnya akan terlihat seperti berikut:spec: conversion: webhook: clientConfig: caBundle: <base64-encoded-ca-bundle>Terapkan CRD yang telah diperbaiki:
kubectl apply -f <corrected-crd-file.yaml>Pulihkan resource kustom Anda:
kubectl apply -f backup.yaml