Helm 从 pod 内部使用“x509：由未知机构签名的证书”获取错误

Posted 2023-02-23

【中文标题】Helm 从 pod 内部使用“x509：由未知机构签名的证书”获取错误

【英文标题】：Helm fetch errors out with "x509: certificate signed by unknown authority" from inside the pod

【发布时间】：2019-11-29 10:44:36

【问题描述】：

我正在尝试使用 client-go 编写 helm 操作符，并希望使用 RepoURL 和 chartname 从我的控制器中获取图表。我编写了一段示例代码，在我的本地机器上运行良好。但是当我在容器内运行相同的代码时，相同的代码会引发错误。请找到以下代码：

func FetchURL() error 
    repoURL := "https://kubernetes-charts.storage.googleapis.com"
    username := ""
    password := ""
    var settings environment.EnvSettings
    flags := pflag.NewFlagSet("helm-env", pflag.ContinueOnError)
    settings.AddFlags(flags)
    settings.Init(flags)
    getters := getter.All(settings)

    getters := getter.All(settings)

    var err error
    destDir, err := ioutil.TempDir("", "helm-")
    if err != nil 
        return fmt.Errorf("Failed to untar: %s", err)
    
    defer os.RemoveAll(destDir)

    chartURL, err := repo.FindChartInAuthRepoURL(repoURL, username, password, chartRef, "", "", "", "", getter.All(settings))
    if err != nil 
        return fmt.Errorf("Error finding the Chart URL: %s", err)
    
    fmt.Println(chartURL)
    return nil

上述函数在获取chartURL时抛出以下错误：

Fetching Chart
Error finding the Chart URL: Looks like "https://kubernetes-charts.storage.googleapis.com" is not a valid chart repository or cannot be reached: Get https://kubernetes-charts.storage.googleapis.com/index.yaml: x509: certificate signed by unknown authority

我知道它要求一些 ca 证书，但我不确定哪个 ca 证书，因为我已经初始化了没有 tls 证书的 helm。

我还尝试将 helm 二进制文件复制到 pod 内并尝试运行：

helm init --client-only
helm repo update
Hang tight while we grab the latest from your chart repositories...
...Skip local chart repository
...Unable to get an update from the "stable" chart repository (https://kubernetes-charts.storage.googleapis.com):
    Get https://kubernetes-charts.storage.googleapis.com/index.yaml: x509: certificate signed by unknown authority
...Unable to get an update from the "bitnami" chart repository (https://charts.bitnami.com/bitnami):
    Get https://charts.bitnami.com/bitnami/index.yaml: x509: certificate signed by unknown authority
Update Complete.

我在那里也面临同样的问题。有没有人遇到过类似的问题？

【参考方案1】：

不，我没有看到这个问题。

注意：域kubernetes-charts.storage.googleapis.com 的证书由已知CA（Google 信任服务）颁发。和charts.bitnami.com的一样（Amazon CA发布），所以你只需要调试一下就可以看到：

在 pod 内访问时，哪个 CA 向该域颁发证书。例如，运行命令curl -vI https://charts.bitnami.com/ 如果证书颁发者是应有的，您可能需要更新 pod 的基本映像以包含更新的已知 CA 证书。如果不是（例如，charts.bitnami.com 的证书是自签名的），这是典型的 DNS 中毒（pod 的名称服务器将上述域解析为不同的域） 检查您的 pod 的名称服务器。如果您不信任 k8s worker DNS，您可以为您的 pod 自定义名称服务器。见https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/

【讨论】：

是的，这是我的容器中缺少 ca 的情况。我需要在我的容器中的 /etc/ssl/certs 上安装由 repo 发布的 ca，然后它就可以工作了。感谢您的指点。