• 安装部署

  • kubesphere 3.2 版本对接Harbor错误,是不是bug,3.1没有这个问题的

新装3.2版本,镜像仓库创建保密字典,对接私有harbor,harbor自签证书启用了https,遇到问题:
1、在仓库地址中直接写域名,提示nodelocaldns解析错误,无奈自建dns服务做harbor.xxx.com 域名解析

2、dns解析正常后,再次添加,提示认证失败,证书原因

备注:在master和node节点登录harbor仓库都是没有问题的

Bhanv 更改标题为「kubesphere 3.2 版本对接Harbor错误,是不是bug,3.1没有这个问题的

ks-apiserver 报错日志如下:
E1108 11:32:52.400482 1 handler.go:226] Get “https://harbor.kubedemo.com/v2/”: x509: certificate signed by unknown authority

E1108 11:32:52.400555 1 utils.go:76] /workspace/pkg/kapis/resources/v1alpha3/handler.go:227 Get “https://harbor.kubedemo.com/v2/”: x509: certificate signed by unknown authority

I1108 11:32:52.400733 1 apiserver.go:599] 10.233.97.18 - “POST /kapis/resources.kubesphere.io/v1alpha3/namespaces/harbor/registrysecrets/harbor/verify HTTP/1.1” 401 85 44ms

E1108 11:37:48.023498 1 handler.go:226] Get “https://harbor.kubedemo.com/v2/”: x509: certificate signed by unknown authority

E1108 11:37:48.023592 1 utils.go:76] /workspace/pkg/kapis/resources/v1alpha3/handler.go:227 Get “https://harbor.kubedemo.com/v2/”: x509: certificate signed by unknown authority

I1108 11:37:48.023811 1 apiserver.go:599] 10.233.97.14 - “POST /kapis/resources.kubesphere.io/v1alpha3/namespaces/harbor/registrysecrets/harbor/verify HTTP/1.1” 401 85 18ms

  • Jeff 回复了此帖

    Bhanv 你的Harbor证书是自签名的吧,这个是因为容器里没有自建的harbor的根证书,无法认证你的harbor,这个我们会在后续版本优化,提供跳过ssl验证的选项。如果你的凭证正确,也可以跳过验证。

        Jeff 是的,自签的证书,选择跳过是可以的,但是为啥读取不了node节点的hosts文件了,还要dns解析,这个没想明白,3.1.1应该是没有这个问题的

          已经临时通过给ks-apiserver deployment 添加定义 hostAliases来解决这个外部harbor解析的问题。

            10 天 后

            升级到3.2版本后,我也有同样的问题,我是使用公网的域名 ,请问是怎么解决的,ca证书已经添加到了docker

            5 个月 后

            docker login <harbor_ip> 成功。 可以暂时忽略x509: certificate signed by unknown authority 错误。

            创建应用的时候,设置镜像的地方 提示 证书错误,也忽略提示。 最终是可以 pull image 的。

            等修复了在升级。

            2 个月 后

            harbor自签的证书,配置secret失败提示certificate signed by unknown authority,这个有什么解决的办法

              zhentianxiang 可以跳过验证,直接创建,前提是你已经在节点上添加了相关的证书链,这样镜像也可以正常拉取

                  1 个月 后

                  hongming 3.2.1版本,自建harbor,用的内网AD域控签的证书,一样报409,3.3.0也是这样,请问这个问题官方一直没更新吗?

                      hongming 试了这个方法可以,但是在加的时候提示“cannot unmarshal bool into Go struct field ObjectMeta.metadata.annotations of type string”,改成secret.kubesphere.io/force-insecure: 'true'就好了

                        hongming

                        通过KK离线部署的harbor

                        这样操作之后可以拉取,但是无法在这里检索,请问除了改成HTTP,没有的别的解决办法吗

                            14 天 后

                            flee 这个问题看起来是nodejs不信任证书的问题 目前的方案是通过NODE_EXTRA_CA_CERTS这个环境变量,然后用cm挂载到系统里,然后环境变量读过来就认识可以信任这个证书了

                              6 个月 后
                              15 天 后
                              2 年 后

                              • cccaw

                                • 发布 #19

                                alanping 外部独立部署的harbor如何配置ca证书,也是按照你说的这个链接文档配置吗?