华为云UCS-舰队或集群关联权限异常，怎么处理？:排查项三：集群认证信息变化

时间：2023-11-01 16:16:51

华为云UCS

排查项三：集群认证信息变化

如错误显示“cluster responded with non-successful status: [401][Unauthorized]”，通过观察集群三个Master节点“/var/paas/sys/log/kubernetes/auth-server.log”日志，可能是IAM网络连通故障。请确认IAM域名解析能力，及IAM服务连通性正常。

常见问题日志如下：

Failed to authenticate token: *******: dial tcp: lookup iam.myhuaweicloud.com on *.*.*.*:53: no such host
此类日志说明，节点缺少对iam.myhuaweicloud.com解析能力，请根据注册本地集群（私网接入），配置对应的域名解析。
Failed to authenticate token: Get *******: dial tcp *.*.*.*:443: i/o timeout
此类日志说明，节点访问IAM服务超时，请确保节点与华为云IAM服务能正常通信。
currently only supports Agency token
此类日志说明请求不是从UCS服务发起，目前本地集群只支持UCS服务IAM Token访问。
IAM assumed user has no authorization/iam assumed user should allowed by TEAdmin
此类日志说明UCS服务访问集群故障，请联系华为技术人员进行排障。
Failed to authenticate token: token expired, please acquire a new token
此类日志说明Token存在过期现象，请使用date命令确定时间是否差距过大，如果节点时间与标准时间差距过大，请同步时间后，查看集群是否恢复。如果长时间未恢复，可能需要重装集群，请联系华为技术人员进行排障。