metrics-server 与 api server tls 连接失败的根本原因是 api server 证书缺失 clusterip(如 10.43.0.1)的 san 条目;可通过检查证书 san、临时启用 use_http=true 或更新 kube-apiserver 证书并添加 tls-san 配置来解决。
这是 metrics-server 与 Kubernetes API Server 建立 TLS 连接时的证书校验失败问题。根本原因是 metrics-server 启动时尝试用 HTTPS 访问 API Server(通常是 https://10.43.0.1:443),但 API Server 的服务证书(通常由 kube-apiserver 生成或由集群 CA 签发)中没有把 10.43.0.1 列为有效 DNS 名称或 IP Subject Alternative Name(SAN),导致 Go 的 TLS 客户端拒绝连接。
确认 API Server 证书是否包含 10.43.0.1
该 IP 通常是 Kubernetes Service 的 ClusterIP(如 kubernetes 服务),默认是 10.43.0.1(Rancher/K3s 常见;标准 kubeadm 集群可能是 10.96.0.1)。你需要检查 kube-apiserver 实际使用的证书:
- 登录 master 节点,查看 kube-apiserver 启动参数中的
--tls-cert-file(如/var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt) - 运行:
openssl x509 -in /path/to/serving-kube-apiserver.crt -text -noout | grep -A1 "Subject Alternative Name" - 若输出中没有
IP Address:10.43.0.1,就确认是 SAN 缺失问题
临时解决:跳过证书校验(仅测试环境)
不推荐生产使用,但可快速验证是否为证书问题:
- 在 metrics-server 的 Deployment 中,给容器添加启动参数:
--kubelet-insecure-tls(跳过 kubelet 证书校验)--requestheader-client-ca-file=(清空 requestheader CA,避免聚合 API 校验干扰) - 更关键的是让 metrics-server 使用
http访问 API Server(绕过 TLS):
添加环境变量:USE_HTTP=true
并确保 metrics-server 镜像支持该变量(较新版本如 v0.6.3+ 支持)
正确修复:更新 API Server 证书(推荐)
让 kube-apiserver 证书包含正确的 ClusterIP 和 DNS 名称:
-
K3s:编辑
/etc/rancher/k3s/config.yaml,加入:tls-san:- "10.43.0.1"- "kubernetes.default.svc"
然后重启 k3s:sudo systemctl restart k3s -
kubeadm:修改
kubeadm-config.yaml的clusterConfiguration.certificatesDir和apiServer.certSANs,追加 IP 和域名,再执行kubeadm init phase certs apiserver --config=kubeadm-config.yaml并重启 kube-apiserver -
Rancher RKE:在
cluster.yml的services.kube-api.extra_args中添加:--tls-cert-file=/etc/kubernetes/ssl/kube-apiserver.pem
并确保生成证书时已包含对应 SAN(可通过rke cert rotate --rotate-ca重建)
替代方案:改用 DNS 名称访问 API Server
metrics-server 默认通过 ClusterIP 连接,但也可显式指定 DNS 地址(如 https://kubernetes.default.svc),前提是该域名解析正常且证书中包含该 SAN:
- 在 metrics-server Deployment 中添加参数:
--master=https://kubernetes.default.svc - 确保
kubernetes.default.svc的证书 SAN 包含该域名(绝大多数标准集群默认已包含) - 可配合
--kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname提升节点地址识别稳定性
