странно, у меня вот так работает:

openshift_master_identity_providers:
- name: ldap_provider
  challenge: true
  login: true
  kind: LDAPPasswordIdentityProvider
  attributes:
    id:
    - uid
    email:
    - mail
    name:
    - cn
    preferredUsername:
    - uid
  bindDN: ""
  bindPassword: ""
  insecure: false
  url: "ldaps://ldap.corp.redhat.com/ou=Users,dc=redhat,dc=com?uid"
openshift_master_ldap_ca_file: /etc/pki/ca-trust/source/anchors/RH-IT-Root-CA.crt

значит это наш AD чтото еще химичит.

А где группы биндятся не совсем вижу

Планирую просто разворачивать на днях OKD кластер . 3 мастера , 3 воркера и ещё 3 ноды заложил под служебные контейнеры например ингрессы итд. Вот думаю что ещё учесть

Глустерфс юзаете ? Вроде как бы в ансибле плейбуке его можно активировать для развертывания кластера

Во

у нас netapp

Просто мы не планируем в кубер пихать стейтфулл приложения)))  по этому шаренный сторадж не особо нужен)

Хотя впринципе у нас есть цеф))))) можно потом провижионера прикрутить

Привет. Может не совсем сюда, но вдруг кто-то знает. Как заставить alertmanager  присылать в сообщении только только те лейблы, которые мне нужно, а не все, что есть у метрики?

route:
  receiver: default
  routes:
  - receiver: foo
    match:
      <label>: <label value>

для матчинга по лейблам. А так же @metrics_ru

Спасибо! Попробую.

а действительно, то, что ансибл темлпейт вставляет ссылку на СА в любом случае и формирует лдапс-урл, несмотря на инсекур: тру - это известный баг

приходится после деплоя ходить по мастерам и патчить мастер-конфиг.ямл, чтобы он стал верным

да, ему всегда нужен CA, просто в некоторых сорсах идентификации (типа лдап) можно указать insecure

и для единообразия он всегда требуется

патчить не надо, лучше указать настоящий CA

наличие параметра са в ямле или лдапс схемы несовместимос с инсекур: тру

после этого под апи-сервера не запускается