使用 對 Kubernetes 進行故障診斷 AWS 私有 CA - AWS 私有憑證授權單位

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 對 Kubernetes 進行故障診斷 AWS 私有 CA

您可以使用下列程序取得 aws-private-ca-issuer的日誌:

  1. 取得 Pod 的名稱:

    kubectl get pods -A

  2. 若要檢視發行者日誌,請使用下列命令:

    kubectl logs -n aws-privateca-issuer <pod-name> aws-privateca-issuer

  3. 若要檢視 IAM Roles Anywhere 日誌,請使用下列命令:

    kubectl logs -n aws-privateca-issuer <pod-name> rolesanywhere-credentials-helper

若要檢查 AWS 私有 CA 發行者的狀態,請使用下列其中一項:

若要檢查您的發行者是否已準備就緒,請使用下列命令:

kubectl get AWSPCAClusterIssuers -o json | jq '.items[].status

回應應類似於以下內容:

{
  "conditions": [
    {
      "lastTransitionTime": "2024-07-03T13:56:37Z",
      "message": "Issuer verified",
      "reason": "Verified",
      "status": "True",
      "type": "Ready"
    }
  ]
}

如果發行者未處於 Ready 狀態, message 欄位會提供發行者為何無法達到 Ready 狀態的資訊。

若要檢查您的憑證是否已就緒,請使用下列命令:

kubectl get certificates -o json | jq '.items[].status'

回應應類似於以下內容:

{
  "conditions": [
    {
      "lastTransitionTime": "2024-07-03T13:58:13Z",
      "message": "Certificate is up to date and has not expired",
      "observedGeneration": 1,
      "reason": "Ready",
      "status": "True",
      "type": "Ready"
    }
  ],
  "notAfter": "2024-10-01T13:58:12Z",
  "notBefore": "2024-07-03T12:58:12Z",
  "renewalTime": "2024-09-16T13:58:12Z",
  "revision": 1
}

如果憑證未處於 Ready 狀態, message 欄位會提供憑證無法達到 Ready 狀態的原因資訊。