http: TLS handshake error from xxx.xxx.xxx.xxx:xxxx : read tcp xxx.xxx.xxx.xxx:6443->xxx.xxx.xxx.xxx

已于 2022-06-17 16:42:11 修改
阅读量2.5k 收藏 2
点赞数
分类专栏: kubernetes 文章标签: kubernetes rancher SLB
于 2022-06-16 10:06:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lmh_115305411/article/details/125310184
版权

目录

一、问题描述

二、问题分析

解决方法:

一、问题描述

使用阿里云SLB做 kube-apiserver负载,查看kube-apiserver 日志一直在报 TLS handshake error 错误,100.121.5.128、100.120.70.1两个IP也不知道是从哪里来的,频率在每隔2s执行两次,问题如下:

2022/6/15 11:59:32 I0615 11:59:32.213207       1 log.go:172] http: TLS handshake error from 100.120.70.1:25664: read tcp 172.17.47.140:26443->100.120.70.1:25664: read: connection reset by peer
2022/6/15 11:59:32 I0615 11:59:32.660931       1 log.go:172] http: TLS handshake error from 100.121.5.128:18063: read tcp 172.17.47.140:26443->100.121.5.128:18063: read: connection reset by peer
2022/6/15 11:59:34 I0615 11:59:34.192356       1 log.go:172] http: TLS handshake error from 100.120.70.1:49522: read tcp 172.17.47.140:26443->100.120.70.1:49522: read: connection reset by peer
2022/6/15 11:59:34 I0615 11:59:34.746833       1 log.go:172] http: TLS handshake error from 100.121.5.128:31929: read tcp 172.17.47.140:26443->100.121.5.128:31929: read: connection reset by peer
2022/6/15 11:59:36 I0615 11:59:36.270063       1 log.go:172] http: TLS handshake error from 100.120.70.1:28159: read tcp 172.17.47.140:26443->100.120.70.1:28159: read: connection reset by peer
2022/6/15 11:59:36 I0615 11:59:36.815505       1 log.go:172] http: TLS handshake error from 100.121.5.128:45285: read tcp 172.17.47.140:26443->100.121.5.128:45285: read: connection reset by peer
2022/6/15 11:59:38 I0615 11:59:38.201727       1 log.go:172] http: TLS handshake error from 100.120.70.1:21729: read tcp 172.17.47.140:26443->100.120.70.1:21729: read: connection reset by peer

二、问题分析

1、排查未使用SLB集群无此问题

2、排查两个集群配置相同无差别

3、此IP(100.121.5.128、100.120.70.1)未在集群中与宿主机使用

4、排查阿里SLB健康检查

5、当关闭阿里云SLB健康检查后问题停止,分析阿里云健康检查问题

6、查看阿里云SLB健康检查支持两种方式:TCP协议健康检查通过发送SYN握手报文来检测服务器端口是否存活;HTTP协议健康检查通过发送HEAD/GET请求模拟浏览器的访问行为来检查服务器应用是否健康

7、尝试修改为http健康检查由于kube-apiserver使用https协议,健康检查失败

解决方法:

方法一:停掉健康检查

 

方法二:使用http协议调用勾选http_4xx、http_5xx

方法三:开启kube-apiserver http端口

# vim /etc/kubernetes/manifests/kube-apiserver.yaml
 - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.pem
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.pem
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client-key.pem
    - --etcd-servers=https://172.17.47.140:2379,https://172.17.47.141:2379,https://172.17.47.142:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt

修改:

# 修改为
- --insecure-port=8080
# ip 为不限制,默认为127.0.0.1
- --insecure-bind-address=0.0.0.0

重启服务

systemctl daemon-reload
systemctl restart docker
systemctl restart kubelet

SLB配置

 

参考:

docs/concepts/aws.md: document TLS handshake errors in kube-apiserver · kinvolk/lokomotive@243459f · GitHub

解决TLS握手失败:从错误分析到成功连接
TechEnthusiast的博客
09-03 1603
在物联网和网络应用开发中,安全通信至关重要。TLS(传输层安全协议)是保障数据传输安全的关键技术,但有时我们可能会遇到TLS握手失败的问题。本文将通过一个实际案例,详细讲解如何分析TLS握手错误并成功解决问题。
三种方法解决http: TLS handshake error from [::1]:51325: remote error: tls: unknown certificate
weixin_64123373的博客
08-17 8668
解决http: TLS handshake error
解决:http: TLS handshake error from *
liuzhen007的专栏
11-13 1万+
目录 问题 解决 结尾 问题 今天以容器的形式在公网上一个部署了一个云服务,在测试环境是没有问题的,不知道为什么部署到 beta 环境就出现了问题,导致 https 协议文件访问失败。 具体报错信息如下: 2021/11/09 07:15:58 http: TLS handshake error from 125.64.94.138:34428: remote error: tls: bad certificate\ 2021/11/09 07:15:58 http: TLS handshak
apiserver报http: TLS handshake error from 10.4.7.11:56612: remote error: tls: bad certificate
strideahead的博客
04-05 6150
起初使发现coredns一直启动不起来,查看报错, http: TLS handshake error from 10.4.7.11:56612: remote error: tls: bad certificate修改kube-apiserver 配置 导致 修改过来重启apiserver,问题解决,原因未知。
HTTPS 发送请求出现TLS握手失败
阿信今天的代码没bug的博客
07-07 1497
我本人对这个方面的研究不深,到达了我的知识盲区,刚好身边有个博士做过这方面的研究,他所在的团队实现了TLS1.3的一个版本,对这个非常熟悉,请他看了一下日志,可以判断,也是缺少椭圆曲线;两者对比可以发现,服务端选择了TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384加密套件,正常请求是有这个套件的,而失败的请求是没有这个套件的;经过了一天的努力,终于发现了问题所在,之前有个哥们不知道因为什么原因,把SUN公司的ECC曲线都删掉了,导致了问题;从网上找了写方法,都没有解决;
【问题处理】SSLException: Received fatal alert: internal_error
cuiqiang60的博客
09-13 2万+
一、简报: 现象描述:javax.net.ssl.SSLException: Received fatal alert: internal_error 问题定位:不同版本jdk对ssl/tsl的支持程度不同。我遇到的问题是jdk1.6不支持tlsv1.2导致; 处理登记:jdk版本升级到1.7之后不再报错。   二、详细过程 1、报错信息 客户端访问服务端报错,如下图: 2018...
tools.txt
huhuoyun的专栏
02-15 1147
-----------------update 2017.08.20---------------- add-tools: apt-get install eclipse-cdt-autotools apt-get install convmv fuse-convmvfs unar apt-get install blender-dbg blender-ogrexml-1.8 apt-get install libgtkmm-3.0-dbg systemtap-sdt-de.
ocserv配置文件
weixin_33976072的博客
10-19 2万+
The following directives do not change with server reload. # User authentication method. To require multiple methods to be used for the user to login, add multiple auth directives. The values in the '...
制作ocserv-docker
aifeie2259的博客
04-10 873
docker 教程:http://www.runoob.com/docker/docker-hello-world.html 1.安装docker yum install docker 2.使用Dockerfile 来创建镜像 FROM centos:6.7 MAINTAINER liuyuanzhen "1057110618@qq.com" RU...
ocserv 配置方法
aifeie2259的博客
04-10 6439
1.安装ocservocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装   $ yum install epel-release   $ yum install ocserv 2.创建 CA cd /etc/ocserv mkdir CA cd CA vim ca.tmpl cn = "liuyuanzhe...
https自签证书tls握手时错误或go系统错误处理
weixin_46078854的博客
11-12 9279
https自签证书tls握手时报错:2021/11/03 09:22:53 http: TLS handshake error from ip:port: remote error: tls: unknown certificate, 这属于go包系统级别的错误,不可捕获和忽略,只能用方法3来减少错误日志文件大小。 1.浏览器添加客户端证书和CA根证书; 2.系统级别的崩溃信息:syscall.Dup2 eg: fatal error: runtime: out of memory 代码: f, e :=
SSL/TLSHandshake过程与javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure异常
热门推荐
成长的足迹
01-24 5万+
.SSL/TLSHandshake过程 在SSL/TLSHandshake过程中,客户端与服务器之间需要交换参数,具体过程如下: 客户端提供其所支持的各种cipher suites(包含加密算法和Hash函数) 服务器从中选择自己也支持的cipher suite,并通知客户端,表明两者将以此进行数据传输 服务器同时将自己的数字证书(包括服务器名称、CA和公钥)作为标识符发给客户端 ...
master节点TLS握手协议报错问题实例处理
hedao0515的专栏
03-19 7199
master节点TLS握手协议报错问题实例处理
istio多节点时报错TLS handshake error x.x.x.x: EOF或者 code = Canceled desc = context canceled
weixin_42411864的博客
05-11 886
修改每个节点网卡的mtu 给到8000!这问题卡我快两个月了终于在昨天翻阅stackoverflow的时候看到又人无意间提了一嘴,试了一下就好了,所有有时候不是 软件的问题,不是集群的问题,是最底层的网络问题,这边总结一下思路一般报错EOF的都是请求的时候东西太大或者连接失效从而截断了,之前写上传文件的时候也遇到过!
TLS handshake error : : tls: bad certificate
bianmu3488的博客
08-02 5732
Aug 02 10:55:52 k8stian-m2 kube-apiserver[6001]: I0802 10:55:52.563367 6001 controller.go:105] OpenAPI AggregationController: Processing item k8s_internal_local_delegation_chain_0000000001Aug 02 10...
TLS协商报错Handshake failure问题解决
最新发布
qq_42288975的博客
10-12 2988
介绍了curl工具协助定位tls连接问题,tcp连接报错Handshake failure可能原因是协商的加密套件存在问题导致。
如何修复SSL/TLS握手失败
yuyan_jia的博客
08-24 1万+
https://segmentfault.com/a/1190000021559557 此文主要内容翻译至博客How to Fix the SSL/TLS Handshake Failed Error?,并做了一些添加,修改和删除. 当浏览器向web服务器(如Apache)发送一个安全的请求时,ssl/tls握手过程就开始了.ssl/tls错误时有发生,其中最常见的错误就是SSL Handshake Failed error.下面我们就来讲解什么是SSL/TLS握手失败,以及如何解决. SSL/TLS
阿里云环境中TLS/SSL握手失败的场景分析
阿里云云栖号
07-10 5017
TLS/SSL握手是一个相对复杂的过程,在阿里云环境中结合产品,安全等特性,可能会让TLS/SSL握手过程的不定性更多。本文来总结下各种握手失败的场景。 一次TLS/SSL握手的过程 本文不详细介绍TLS/SSL基础知识,相关介绍可以参考文章。下面3张图描述了3种TLS/SSL握手的全过程。 服务器验证的完全握手 (Full Handshake with Mutual Authenticat...
MQTT错误:TCP/TLS连接失败
CqpFsharp的博客
09-25 1710
然而,在使用MQTT时,有时候会遇到错误,其中之一是TCP/TLS连接失败。当出现MQTT错误:TCP/TLS连接失败时,需要检查网络连接、证书配置和连接参数。检查证书配置:如果使用了TLS连接,请确保证书的有效性和正确性。安全设置问题:如果使用了TLS(Transport Layer Security)加密连接,那么连接过程中可能存在证书验证问题。网络问题:TCP/TLS连接需要通过网络进行通信,如果网络不稳定或存在故障,就可能导致连接失败。配置问题:连接参数的错误配置也可能导致连接失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

主公不搬砖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值