istio证书异常

istio有时会出现证书异常的问题,例如证书校验失败,证书过期等,此时需要我们手动处理istio证书问题。

一、我的istio版本

client version: 1.3.3
control plane version: 1.3.3

二、开始处理

1、先查询istio的密钥istio-ca-secret:

kubectl get secret -n istio-system | grep istio-ca-secret

确保在指定名称空间(istio-system)下有istio-ca-secret这个密钥。

2、删除istio-ca-secret:

kubectl delete secret istio-ca-secret -n istio-system

3、查询Citadel及galley的pod名称:

kubectl get po -n istio-system

istio证书异常_第1张图片

4、然后过1分钟左右,重启Citadel服务:

kubectl delete po istio-citadel-5f9dc8b9c6-r44p7 -n istio-system

过一分钟的意思是等待密钥istio-ca-secret 重新生成后,在重启(删除)Citadel服务pod。

5、然后过2分钟左右,重启galley服务:

kubectl delete po istio-galley-6c88f9988b-rtg5l -n istio-system

然后问题就解决了,注意等待1分钟和2分钟的时间是必要的,不然可能当时好了,过几分钟之后还出现这个问题,因为证书没有生成完就重启了两个Pod,因此一定要有间隔时间。

备注:查看istio证书过期时间:
kubectl cp istio-galley-6696bd4c5c-pmjc8:/etc/certs -n istio-system /root/cgh/20230221
cd /root/cgh/20230221/
cd …2023_02_21_04_53_37.831578227/
cat cert-chain.pem |openssl x509 -text -noout|grep Validity -A 2

你可能感兴趣的:(istio,云原生)