使用 Kubernetes 进行故障排除 Amazon 私有 CA - Amazon 私有证书颁发机构
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Kubernetes 进行故障排除 Amazon 私有 CA

您可以按照以下步骤获取aws-private-ca-issuer日志:

  1. 获取 pod 的名称:

    kubectl get pods -A

  2. 要查看发行者日志,请使用以下命令:

    kubectl logs -n aws-privateca-issuer <pod-name> aws-privateca-issuer

  3. 要查看日 IAM Roles Anywhere 志,请使用以下命令:

    kubectl logs -n aws-privateca-issuer <pod-name> rolesanywhere-credentials-helper

要查看您的 Amazon 私有 CA 发卡机构的状态,请使用以下方法之一:

要检查您的发卡机构是否准备就绪,请使用以下命令:

kubectl get AWSPCAClusterIssuers -o json | jq '.items[].status

响应应类似于以下内容:

{
  "conditions": [
    {
      "lastTransitionTime": "2024-07-03T13:56:37Z",
      "message": "Issuer verified",
      "reason": "Verified",
      "status": "True",
      "type": "Ready"
    }
  ]
}

如果发行人不在该Ready州,则该message字段将提供有关发行人无法到达该Ready州的原因的信息。

要检查您的证书是否已准备就绪,请使用以下命令:

kubectl get certificates -o json | jq '.items[].status'

响应应类似于以下内容:

{
  "conditions": [
    {
      "lastTransitionTime": "2024-07-03T13:58:13Z",
      "message": "Certificate is up to date and has not expired",
      "observedGeneration": 1,
      "reason": "Ready",
      "status": "True",
      "type": "Ready"
    }
  ],
  "notAfter": "2024-10-01T13:58:12Z",
  "notBefore": "2024-07-03T12:58:12Z",
  "renewalTime": "2024-09-16T13:58:12Z",
  "revision": 1
}

如果证书不在该Ready州,则该message字段将提供有关证书无法到达该Ready州的原因的信息。