我正在构建一个带有Fargate托管节点的AWS EKS集群,一切都很好,直到我想从一个托管在港口上的远程本地docker注册表中拉出一个docker镜像。CA在内部是完全私有的,我认为这可能是一个问题。
作为一种解决方法,我尝试使用由AWS PCA生成的SSL密钥和证书创建Apache代理(来自另一个帐户!)。稍后自定义docker pull端点调用通过此代理移动(pull)。
我从代理实例以及另一个堡垒主机实例测试了此设置,并且使用港口身份验证(而不是从EKS)正确拉取图像。
我检查过,在AWS PCA中创建的CA未过期(2022日期过期)。
在AWS EKS内部,此拉取不能正常工作。我将包含错误消息:
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Warning LoggingDisabled 78s fargate-scheduler Disabled logging because aws-logging configmap was not found. configmap "aws-logging" not found
Normal Scheduled 5s fargate-scheduler Successfully assigned to fargate-ip-10-155-250-49.eu-central-1.compute.internal
Normal Pulling 2s kubelet Pulling image ""
Warning Failed 2s kubelet Failed to pull image "/": rpc error: code = Unknown desc = failed to pull and unpack image "/": failed to resolve reference "/: failed to do request: Head https:///<****>/: x509: certificate signed by unknown authority
Warning Failed 2s kubelet Error: ErrImagePull
Normal BackOff 1s kubelet Back-off pulling image "/"
Warning Failed 1s kubelet Error: ImagePullBackOff
错误由以下原因引起:
x509: certificate signed by unknown authority
你们有什么想法吗?
提前感谢!
发布于 2021-02-25 21:05:47
目前还没有解决这个问题的办法。我们必须等待AWS从ACM private CA在EKS中实现私有证书支持。目前,EKS服务接受的证书必须由某个公共CA签名。
https://stackoverflow.com/questions/66334703
复制相似问题