скоро сделаем второй превью

Добрый день, коллеги

Не могли бы помочь с ошибкой при замене сертификатов в OKD 3.11.156-1.

Vars:

...
openshift_master_overwrite_named_certificates: true
openshift_master_named_certificates: 
  - certfile: $(pwd)/ssl/prod/prod_{domain}.crt
    keyfile: $(pwd)/ssl/prod/private.key
    names:
      - prod.{ domain }
    cafile: $(pwd)/ssl/prod/AddTrust_External_CA_Root.crt
openshift_hosted_router_certificate: 
    {"certfile": $(pwd)/ssl/prod/prod_{domain}.crt,
     "keyfile": $(pwd)/ssl/prod/private.key,
     "cafile": $(pwd)/ssl/prod/AddTrust_External_CA_Root.crt}
...

На каком степе ошибка: TASK [openshift_named_certificates : Land named certificates
Суть ошибки: инсталлятор не может найти задаваемые сертификаты.
Где он (прим. инсталлятор) их ищет: {path to ansible}/openshift-ansible-openshift-ansible-3.11.156-1/roles/openshift_named_certificates/tasks/files/$(pwd)/ssl/prod/prod_{domain}

На той же 3.11, но в начале этого года все прекрасно работало

...
openshift_master_overwrite_named_certificates: true
openshift_master_named_certificates: 
  - certfile: $(pwd)/ssl/prod/prod_{domain}.crt
    keyfile: $(pwd)/ssl/prod/private.key
    names:
      - prod.{ domain }
    cafile: $(pwd)/ssl/prod/AddTrust_External_CA_Root.crt
openshift_hosted_router_certificate: 
    {"certfile": $(pwd)/ssl/prod/prod_{domain}.crt,
     "keyfile": $(pwd)/ssl/prod/private.key,
     "cafile": $(pwd)/ssl/prod/AddTrust_External_CA_Root.crt}
...

{{ playbook_dir }} же вместо $(pwd)

{{ lookup('env','PWD') }} если все равно нравится боль

🤔а почему оно раньше работали?

мб ты из другой директории запускал?)

И они не рядом лежат

минимальная версия ансибла поди

Они и тогда лежали не рядом

Грубо говоря:
/ssl/....
/ansible/roles/okd/openshift-ansible

Запускаю это с /, с полными путями до необходимого yaml файла

Эм а как в haproxy ingress версия шифта 3.11 через аннотацию добавить request-host set-header . Аннотации игнорит (

Сап. Сделал шаблон, пытаюсь из него развернуть и в events наблюдаю Failed create pod sandbox, логи при этом не грузятся. Как понять в чём проблема? Куда копать?

Если поможет, то вот темплейт и докерфайл

https://gist.github.com/sheldhur/f56a61ac0448b636901943ec08ee44d4

Подскажите плиз, можно ли задать в router openshift через аннотацию, conf snippet для бэкенда или задать кастомный хидер ?

Вроде же там стоит haproxy ingress , но его аннотация почему то не работает, а работаю только те которые опеншифтовские.

Выложены доклады с DevSecCon London 2019
https://www.youtube.com/playlist?list=PLKWDDWZ_ETtBgVJEHQUAGeVA-lXwcbDfI

Список докладов
https://www.devseccon.com/london-2019/

Понравилось что много каких-то практических штук показывают, демо и т.д.

Для себя отметил три доклада

Jan Harrie - How to Secure OpenShift Environments
https://www.youtube.com/watch?v=pa4uZICJRRA

Matt Carroll - A Kernel of Truth Intrusion Detection and Attestation
https://www.youtube.com/watch?v=K6ZRAz58fiA

Brian Vermeer - Live Exploiting Your Open Source Dependencies
https://www.youtube.com/watch?v=irrN4YSRDkg

Есть доклад про OpenShift, но мало ли кому ещё чего интересно =)

Спасибо

Добрый день! Подскажите плиз. Втыкаю traefik в openshift но ругается на "level":"fatal","msg":"Error preparing server: error opening listener: listen tcp :80: bind: permission denied","time":"2019-12-03T05:28:34Z"}
Пытался уже и в scc добавлять hostnetwork сервисаккаунт из которого запускается под в нужном неймспейсе , даже удаление scc не помогло. Никто не пробывал запускать траефик? у меня есть подозрение что это связано с selinux