DI
Size: a a a
2016 August 25
DI
это вот оно да?
MF
если у тебя в каком-нить контейнере есть curl, то сделай дополнительную проверку:
kubectl exec -it <pod-with-curl> curl https://<apiserver>:443/
# тут должна быть ошибка про х509
kubectl exec -it <pod-with-curl> curl --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt https://<apiserver>:443/
# теперь должно стать "unauthorized"
MF
если в обоих случаях будет про х509, то значит ты косо настроил аписервер
DI
А вот сейчас и проверим :) насколько это всё было по японски)
DI
Unauthorized 🎉MF
Ну тогда делай как я
DI
Максим, а можешь рассказать, как это работает?
volumes:
- name: ssl-certs-kubernetes
hostPath:
path: /etc/kubernetes/ssl
- name: kubeconfig
hostPath:
path: /etc/kubernetes/kubeconfig.yaml
MF
прям по мануалу
MF
монтирует папки с дисков
DI
странно, что в CoreOS-мануале этого нет
DI
Там оно через etcdпохоже
MF
ну у них не принято на диски файлы раскладывать
MF
доставлять-то нечем
MF
хотя я не знаю, как они без этого kubelet'ы запускают
MF
им же тоже нужны ключи
MF
так что как-то они их доставили
MF
да ну, вот же