metrics-server 启动失败 "x509: certificate is valid for 10.43.0.1"

metrics-server 与 API Server TLS 连接失败的根本原因是 API Server 证书缺失 ClusterIP（如 10.43.0.1）的 SAN 条目；可通过检查证书 SAN、临时启用 USE_HTTP=true 或更新 kube-apiserver 证书并添加 tls-san 配置来解决。

这是 metrics-server 与 Kubernetes API Server 建立 TLS 连接时的证书校验失败问题。根本原因是 metrics-server 启动时尝试用 HTTPS 访问 API Server（通常是 https://10.43.0.1:443），但 API Server 的服务证书（通常由 kube-apiserver 生成或由集群 CA 签发）中没有把 10.43.0.1 列为有效 DNS 名称或 IP Subject Alternative Name（SAN），导致 Go 的 TLS 客户端拒绝连接。

确认 API Server 证书是否包含 10.43.0.1

该 IP 通常是 Kubernetes Service 的 ClusterIP（如 kubernetes 服务），默认是 10.43.0.1（Rancher/K3s 常见；标准 kubeadm 集群可能是 10.96.0.1）。你需要检查 kube-apiserver 实际使用的证书：

• 登录 master 节点，查看 kube-apiserver 启动参数中的 --tls-cert-file（如 /var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt）
• 运行：
  openssl x509 -in /path/to/serving-kube-apiserver.crt -text -noout | grep -A1 "Subject Alternative Name"
• 若输出中没有 IP Address:10.43.0.1，就确认是 SAN 缺失问题

临时解决：跳过证书校验（仅测试环境）

不推荐生产使用，但可快速验证是否为证书问题：

Magic Write

Canva旗下AI文案生成器

下载

• 在 metrics-server 的 Deployment 中，给容器添加启动参数：
  --kubelet-insecure-tls（跳过 kubelet 证书校验）
  --requestheader-client-ca-file=（清空 requestheader CA，避免聚合 API 校验干扰）
• 更关键的是让 metrics-server 使用 http 访问 API Server（绕过 TLS）：
  添加环境变量：
  USE_HTTP=true
  并确保 metrics-server 镜像支持该变量（较新版本如 v0.6.3+ 支持）

正确修复：更新 API Server 证书（推荐）

让 kube-apiserver 证书包含正确的 ClusterIP 和 DNS 名称：

• K3s：编辑 /etc/rancher/k3s/config.yaml，加入：
  tls-san:
- "10.43.0.1"
- "kubernetes.default.svc"
  然后重启 k3s：sudo systemctl restart k3s
• kubeadm：修改 kubeadm-config.yaml 的 clusterConfiguration.certificatesDir 和 apiServer.certSANs，追加 IP 和域名，再执行 kubeadm init phase certs apiserver --config=kubeadm-config.yaml 并重启 kube-apiserver
• Rancher RKE：在 cluster.yml 的 services.kube-api.extra_args 中添加：
  --tls-cert-file=/etc/kubernetes/ssl/kube-apiserver.pem
  并确保生成证书时已包含对应 SAN（可通过 rke cert rotate --rotate-ca 重建）

替代方案：改用 DNS 名称访问 API Server

metrics-server 默认通过 ClusterIP 连接，但也可显式指定 DNS 地址（如 https://kubernetes.default.svc），前提是该域名解析正常且证书中包含该 SAN：

• 在 metrics-server Deployment 中添加参数：
  --master=https://kubernetes.default.svc
• 确保 kubernetes.default.svc 的证书 SAN 包含该域名（绝大多数标准集群默认已包含）
• 可配合 --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname 提升节点地址识别稳定性