и на нодах вроде ничего особенного не происходит

Продолжаются мои мучения с сертами)))
Теперь проблема в следующем: после деплоя новых сертификатов, нормально открывается мастер консоль и приложения (т.е. рабочие серты), однако cluster console, а так же grafana и kibana стали показывать x509: certificate signed by unknown authority. Попытки удалить старые серты (у логгирования) чтобы оператор их пересоздал к результату не привели...куда еще можно смотреть? я попробовол по отдельности раскать серты мастера, роутеров. сравнивал подписантов

не знаю как ты делал "деплой новых сертификатов", но эти емнип включены в playbooks/redeploy-certificates.yml

да, через него....от того это довольно странно, почему новые роуты работают ок, мастер консоль работает ок, ASB работает ок, а графана\кибана\консоль нет

Нода больше не перезагружается каждые пару минут. Вроде бы починил. Мне кажется (TM) во всем виноват ceph. Так как он своим recovery забивал сеть на ноде. Как только ограничил max-backfills и osd-recovery рестарты прекратились.

хммм, интересно. А как узнал про ошибки сети?

(смотрю в похожий случай на CI и тоже гадаю куда смотреть)

После рестарта osd, они естественно в recovery уходят (я не ставил noout). Вот я и решил посмотреть что там ceph -s делает. А он рековерит на макс что сеть выдаёт. Поставил max-osd 1 и всё стало нормально.

штош, у меня там сефа нет

ну и по активности сети на свитчах. Оно там тоже на 95% забито было

а что в качестве kube-proxy используется в openshift 3.11

openshift sdn ?

на базе openvswitch сделано

Kube-proxy

хм, kubectl get pods показывает что нету контейнра такого

там встроен kube-proxy или ovs это свой наработка альтернатива kube-proxy

Он впилен в сдн - или ставится отдельно если другой сдн выбран

oc describe nodes okd4master1 | grep Kube-Proxy
Kube-Proxy Version:                                     v1.14.6+31a56cf75

Ога спасибо. А теперь можете мне объяснить. Вот у меня есть сервис типа LB, он соответственно никакой IP не получает , я указываю External-IP вручную указав воркер ноду где у меня стоит ингресс traefik и всё работает :) Даже hostport не нужно делать