MS
с admin.kubeconfig я вижу поды. с node.kubeconfig нет
Size: a a a
2020 January 28
MS
node.kubeconfig на worker нодах всё еще старые, новые только на мастере сгенерились
АС
угу, автоматически только клиентские меняются. Остальные (==серверный CA) выписываются год и ротейтся плейбуками
Я вот тут сейчас посмотрел на другом кластере, где мы пролюбили редеполой и кластер встал. Плейбуки по обновлению не запускал, просто проаппрувил 100500 csr'ов. Смотрю в /etc/origin/node/certificates/ создались актуальные симлинки и серты kubelet-client-дата.pem и kubelet-server-дата.pem
АС
Откуда тогда взялся серверный сертификат, если на него автоматически не генерится csr?
VR
это CA от мастера, чтобы его обновить нужен плейбук, так просто он не ротейтится
АС
это CA от мастера, чтобы его обновить нужен плейбук, так просто он не ротейтится
Неа - в x509v3 extension СА:FALCE. В cn написано system:node:днс_имя сервера. СА мастера лежит по пути /etc/origin/master
VR
Андрей Суковицын
Неа - в x509v3 extension СА:FALCE. В cn написано system:node:днс_имя сервера. СА мастера лежит по пути /etc/origin/master
сорри, да, это не CA, это сертификат для доступа к аписерверу (насколько я понял)
АС
сорри, да, это не CA, это сертификат для доступа к аписерверу (насколько я понял)
Ага, тогда получается, что csr на него всё-таки должен генерироваться . А его нет. Возможно, конечно, это случается позже, чем для клиента, но тогда где можно посмотреть логику, по которой инициируется генерация csr'ов?
VR
Андрей Суковицын
Ага, тогда получается, что csr на него всё-таки должен генерироваться . А его нет. Возможно, конечно, это случается позже, чем для клиента, но тогда где можно посмотреть логику, по которой инициируется генерация csr'ов?
нет, csr только для клиентской части нодовых сертов. Сертификат от мастера валиден 1 год
VR
и меняется он плейбуком, а не через TLS bootstrapping
АС
../playbooks/openshift-master/redeploy-certificates.yml
АС
нет, csr только для клиентской части нодовых сертов. Сертификат от мастера валиден 1 год
Запустил руками ротацию ../playbooks/openshift-master/redeploy-certificates.yml. Файл kubelet-server.. не обновился
VR
Андрей Суковицын
Запустил руками ротацию ../playbooks/openshift-master/redeploy-certificates.yml. Файл kubelet-server.. не обновился
подозреваю что надо запускать
playbooks/redeploy-certificates.yml -e openshift_redeploy_openshift_ca=trueАС
Неа . Серты на всех нодах в /etc/origin/node/certificates/ остались прежними.
VR
¯\_(ツ)_/¯ я месяц назад такое на домашнем чинил, оно все обновило
АС
¯\_(ツ)_/¯ я месяц назад такое на домашнем чинил, оно все обновило
Печалька. Все равно спасибо, буду дальше разбираться.
MS
а 3.11 еще как долго вообще обновляться будет? (и его OKD версия)
VR
Michael Silich
а 3.11 еще как долго вообще обновляться будет? (и его OKD версия)
пять лет со времени выхода
DG
Вопрос что значит обновления. Ни нового куба внутри со всеми печеньками, нифига
MS
и то правда. 1.11 прибит гвоздями