Kubernetes pods 无法访问 HTTPS 站点

Question

刚刚使用 kubespray 安装了 Kubernetes 集群。 3 master 个节点和 3 worker 个节点 + 2 haproxy 个主节点前面的节点 keepalived.

除了一件事，一切都完美无缺。 当我尝试在 pods:

中更新 alpine 或 ubuntu 上的包时

Ign:1 https://security.debian.org/debian-security buster/updates InRelease          
Ign:2 https://deb.debian.org/debian buster InRelease                                
Err:4 https://security.debian.org/debian-security buster/updates Release                            
  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. The name in the certificate does not match the expected.

快速调试显示我正在从 K8s 中的代理获取自签名 Traefik 默认证书

echo | openssl s_client -showcerts -servername gnupg.org -connect gnupg.org:443 2>/dev/null | openssl x509 -inform pem -noout -text

输出：

       Issuer: CN = TRAEFIK DEFAULT CERT
        Validity
            Not Before: Jun 15 14:08:39 2020 GMT
            Not After : Jun 15 14:08:39 2021 GMT
        Subject: CN = TRAEFIK DEFAULT CERT

有没有办法禁用 SSL 终止？

我的安装是 master 分支

中 kubespray 的全新安装

Kubernetes 版本：v1.18.5

Answer 1

在 /etc/resolv.conf 中发现了一个问题。 search 列表中有一个域指向带有 traefik 的服务器。 该域的 DNS 区域中有 *.domain.com 记录。这就是问题所在。