错误源于未指定config_context导致provider使用失效的默认context,应显式配置config_context参数并验证kubeconfig中server地址、DNS解析、API Server状态及防火墙规则。
如果您执行 Terraform apply 时遇到 Provider 报错 “Connection refused”,通常表明 Terraform 尝试连接 Kubernetes 或其他云服务 API 时,目标地址被拒绝响应。典型错误如 dial tcp [::1]:80: connect: connection refused,说明请求意外落到了本地回环地址而非真实集群端点。以下是解决此问题的步骤:
一、检查 kubeconfig 中的 context 是否明确指定
Terraform Kubernetes Provider 在未显式指定 context 时,会默认使用 kubeconfig 文件中的当前活跃 context;若该 context 指向 localhost 或配置失效,就会触发 connection refused。必须确保 provider 块中声明了正确的 config_context。
1、打开 Terraform 配置文件,定位 kubernetes provider 块。
2、确认是否已设置 config_context 参数,且其值与 kubectl config current-context 输出一致。
3、若缺失,补全为:config_context = "your-cluster-context-name"。
4、运行 kubectl config get-contexts 核实上下文名称拼写无误。
二、验证 kubeconfig 文件中目标 context 的 cluster endpoint 是否有效
Provider 实际连接的是 kubeconfig 中对应 context 所引用的 cluster 的 server 字段值。若该字段为 http://localhost 或 https://127.0.0.1,则必然触发 connection refused。
1、执行 kubectl config view --minify --output jsonpath='{.clusters[0].cluster.server}' 获取当前 context 的 server 地址。
2、用 curl -k -v https:///version 测试该地址是否可通(忽略证书验证)。
3、若返回 Connection refused 或超时,说明集群不可达或地址配置错误。
4、编辑 kubeconfig 文件,将 server 字段修正为集群真实的 API Server 地址(如 EKS 的 endpoint URL 或自建集群的公网/内网 IP+端口)。
三、排查本地代理或 hosts 文件导致的地址劫持
本地网络配置可能将集群域名错误解析或转发至 127.0.0.1,例如残留代理设置或 hosts 映射,使 Provider 请求被重定向至本地未监听端口的服务。
1、检查 Git 或系统级 HTTP 代理是否启用:env | grep -i proxy。
2、确认 /etc/hosts(Linux/macOS)或 C:\Windows\System32\drivers\etc\hosts(Windows)中是否存在将集群域名映射到 127.0.0.1 或 ::1 的条目。
3、临时注释掉所有疑似干扰行,保存后重试 terraform apply。
4、使用 nslookup your-cluster-domain 或 dig +short your-cluster-domain 验证 DNS 解析结果是否符合预期。
四、确认集群 API Server 进程实际运行并监听正确端口
即使配置无误,若远端 Kubernetes API Server 未启动、崩溃或监听端口变更,也会直接返回 connection refused。需从服务端验证其可用性。
1、登录集群控制平面节点(或通过云平台控制台访问 Master 节点)。
2、执行 sudo systemctl is-active kube-apiserver(systemd 环境)确认服务状态为 active。
3、运行 sudo ss -tuln | grep :6443(默认 HTTPS 端口)检查是否监听在预期端口和地址(如 *:6443 或 0.0.0.0:6443)。
4、若仅监听 127.0.0.1:6443,需修改 kube-apiserver 启动参数中的 --advertise-address 和 --bind-address,使其绑定非回环地址。
五、检查防火墙及安全组是否放行 API Server 端口
客户端与 API Server 之间的网络路径上,任意层级的防火墙(主机 iptables/nftables、云安全组、VPC 网络 ACL)若未开放 API Server 端口(通常为 6443),连接请求将在到达服务前被静默拒绝。
1、在客户端机器执行 nc -zv 6443 测试端口连通性。
2、若失败,在集群节点执行 sudo ufw status 或 sudo iptables -L INPUT -n 查看主机防火墙规则。
3、若为云环境(如 AWS EKS、阿里云 ACK),进入控制台检查对应节点的安全组入站规则,确保允许来自客户端 IP 段的 TCP 6443 端口访问。
4、如使用私有网络,同步核查 VPC 路由表与网络 ACL 是否允许双向流量。
