Подключение Kube proxy к API Server отклонено в RKE2 HA.

Question

Я сталкиваюсь с проблемой с kube-proxy в моей RKE2 HA кластерной установке, состоящей из 3 мастер-узлов, 3 рабочих узлов и внешнего балансировщика нагрузки. Экземпляры kube-proxy на всех 3 мастер-узлах не могут подключиться к API серверу. Ниже приведены журналы ошибок от kube-proxy:

E0122 16:18:27.308126       1 proxier.go:733] "Error cleaning up nftables rules" 
err="could not find nftables binary: exec: 
\"nft\": executable file not found in $PATH"

E0122 16:18:27.308193       1 proxier.go:733] "Error cleaning up nftables rules"                          
err="could not find nftables binary: exec: \"nft\": executable file not found in $PATH"

E0122 16:18:27.310875       1 server.go:687] "Failed to retrieve node info" err="Get  
\"https://127.0.0.1:6443/api/v1/nodes/master01\": dial tcp 127.0.0.1:6443: connect: 
connection refused"

E0122 16:18:28.392318       1 server.go:687] "Failed to retrieve node info" err="Get   
\"https://127.0.0.1:6443/api/v1/nodes/master01\": dial tcp 127.0.0.1:6443: connect:     
connection refused"

E0122 16:18:30.765162       1 server.go:687] "Failed to retrieve node info" err="Get   
\"https://127.0.0.1:6443/api/v1/nodes/master01\": dial tcp 127.0.0.1:6443: connect:   
connection refused"

E0122 16:18:34.773599       1 server.go:687] "Failed to retrieve node info" err="Get 
\"https://127.0.0.1:6443/api/v1/nodes/master01\": dial tcp 127.0.0.1:6443: connect: 
connection refused"

Когда я проверяю процесс с помощью ps aux | grep proxy, я вижу, что он использует следующий kubeconfig файл: /var/lib/rancher/rke2/agent/kubeproxy.kubeconfig. Содержимое файла:

apiVersion: v1
clusters:
- cluster:
    server: https://127.0.0.1:6443
    certificate-authority: /var/lib/rancher/rke2/agent/server-ca.crt
  name: local
contexts:
- context:
    cluster: local
    namespace: default
    user: user
  name: Default
current-context: Default
kind: Config
preferences: {}
users:
- name: user
  user:
    client-certificate: /var/lib/rancher/rke2/agent/client-kube-proxy.crt
    client-key: /var/lib/rancher/rke2/agent/client-kube-proxy.key

Интересно, что когда я вручную тестирую API сервер с помощью curl, используя те же сертификаты и URL, я НЕ получаю ошибку 403. Вместо этого я получаю корректный JSON ответ:

curl --cacert /var/lib/rancher/rke2/agent/server-ca.crt \
     --cert /var/lib/rancher/rke2/agent/client-kube-proxy.crt \
     --key /var/lib/rancher/rke2/agent/client-kube-proxy.key \
     https://127.0.0.1:6443/api/v1/nodes/master01

Это доказывает, что сертификаты действительны и API сервер доступен. Однако kube-proxy все равно не может подключиться.

Дополнительные заметки:

Я развернул кластер rke2 с помощью следующей Ansible роли: labLabs
kube-proxy работает с настройками по умолчанию (iptables mode)
Я изменил SELinux на режим Permissive
При выполнении ss -tunlp я вижу, что API сервер прослушивает порт 6443:

LISTEN   0    4096   *:6443  *:*    users:(("kube-apiserver",pid=15859,fd=3))

У меня такое же поведение, когда я выполняю iptables flush
Журнал упоминает проблемы с nftables: exec: “nft”: executable file not found in $PATH. Может ли это быть связано? Даже если я не думаю, что это может быть проблемой, поскольку я встречал то же самое при развертывании более старой версии RKE2, которая не вызывает ошибку журнала “nft”
Адрес сервера в kubeconfig — https://127.0.0.1:6443. Должен ли он указывать на внешний балансировщик нагрузки?
Что еще может вызвать эту проблему.
В целом, rke2-server вызывает ошибки журнала no route to host, когда он хочет отправить запросы на внутренние адреса подов. Я считаю, что это происходит из-за неправильной работы kube-proxy

Подключение Kube proxy к API Server отклонено в RKE2 HA.

Вопрос или проблема

Ответ или решение

Теория

Пример

Применение