问题现象
开通服务网格后控制面服务没有正常启动,报错信息如下:
message: 'Internal error occurred: failed calling webhook "cosign-webhook.kube-system.svc": failed to call webhook: Post "https://cosign-webhook.kube-system.svc:443/handlepod?timeout=30s": x509: certificate is valid for cosign-webhook, cosign-webhook.default, cosign-webhook.default.svc, not cosign-webhook.kube-system.svc'
问题原因
由于在云容器引擎集群开启了cube-sign插件,该插件会对集群中部署的镜像做签名验证,提升系统安全性。服务网格控制面组件镜像不会使用cube-sign签名,因此部署会因为签名校验而失败。
解决
关闭云容器引擎集群cube-sign插件,重新部署网格控制面服务。