事象

Kubernetesのワーカーノードでjournalctlやsystemctl status kubeletでこんな感じのログが大量発生しました。

Current certificate CN (kubelet) does not match requested CN (system:node:xxx)

対処方

CSR名を洗い出し

kubectl get csr | grep Pending

承認する

kubectl certificate approve csr-xxxxx

※PendingのCSRが出なくなるまで繰り返し

原因

多分、kubeletの--rotate-server-certificatesパラメータが原因。
CSR承認しろって書いてあった。

https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/

Requires the RotateKubeletServerCertificate feature gate to be enabled, and approval of the submitted CertificateSigningRequest objects.

余談

ApproveしたCSRはしばらくするとkubectl get csrで見られなくなるので、エビデンス求められるなら早めにとった方が良さげ

確認した環境

OKE v1.27.2
デフォルトでは--rotate-server-certificates入っていないが、カスタムして入れました