g
Crio рестартует без ошибок.
Size: a a a
2020 February 05
g
С 4.2 была такая же беда. Мозгу больно. Что(!!!) это может быть? ))
VR
надо смотреть логи с бутстрап ноды - она не аппрувит сертификат мастера
g
Чет я вообще ничего такого не вижу в логах.) Из-за прокси же может быть? Или из-за времени на хосте, где генерились игнишн файлы?
g
Что сначала, что потом: сначала серты, потом сеть поднимается?
ET
Привет, пытаюсь зайти в графану развернутую отдельно в namespace monitoring получаю ошибку такого вида в grafana-proxy
2020/02/05 09:22:48 provider.go:443: Permission denied for kirill@cluster.local for check {"resource":"namespaces","scopes":[],"verb":"get"}
2020/02/05 09:22:48 oauthproxy.go:631: 10.128.2.1:34970 Permission Denied: user is unauthorized when redeeming token
2020/02/05 09:22:48 oauthproxy.go:434: ErrorPage 403 Permission Denied Invalid Account
2020/02/05 09:52:25 provider.go:382: authorizer reason: no RBAC policy matched
oc adm policy add-role-to-user view kirill -n monitoring
role "view" added: "kirill"
получаю все равно 403, куда копать?
2020/02/05 09:22:48 provider.go:443: Permission denied for kirill@cluster.local for check {"resource":"namespaces","scopes":[],"verb":"get"}
2020/02/05 09:22:48 oauthproxy.go:631: 10.128.2.1:34970 Permission Denied: user is unauthorized when redeeming token
2020/02/05 09:22:48 oauthproxy.go:434: ErrorPage 403 Permission Denied Invalid Account
2020/02/05 09:52:25 provider.go:382: authorizer reason: no RBAC policy matched
oc adm policy add-role-to-user view kirill -n monitoring
role "view" added: "kirill"
получаю все равно 403, куда копать?
АС
Привет, так вроде нужно дать на пользователя/группу cluster-role с правами view во всех проектах
VR
gloomy
Чет я вообще ничего такого не вижу в логах.) Из-за прокси же может быть? Или из-за времени на хосте, где генерились игнишн файлы?
сначала серты (на бутстрапе) потом сеть. Проверьте ЛБ \ прокси, но надо баг внести - там может быть практически все угодно
ET
@asarosek oc adm policy add-cluster-role-to-user view kirill -n monitoring
вы имеете ввиду вот это?
вы имеете ввиду вот это?
g
сначала серты (на бутстрапе) потом сеть. Проверьте ЛБ \ прокси, но надо баг внести - там может быть практически все угодно
Ага. Сделаю. Спасибо!
VR
Привет, пытаюсь зайти в графану развернутую отдельно в namespace monitoring получаю ошибку такого вида в grafana-proxy
2020/02/05 09:22:48 provider.go:443: Permission denied for kirill@cluster.local for check {"resource":"namespaces","scopes":[],"verb":"get"}
2020/02/05 09:22:48 oauthproxy.go:631: 10.128.2.1:34970 Permission Denied: user is unauthorized when redeeming token
2020/02/05 09:22:48 oauthproxy.go:434: ErrorPage 403 Permission Denied Invalid Account
2020/02/05 09:52:25 provider.go:382: authorizer reason: no RBAC policy matched
oc adm policy add-role-to-user view kirill -n monitoring
role "view" added: "kirill"
получаю все равно 403, куда копать?
2020/02/05 09:22:48 provider.go:443: Permission denied for kirill@cluster.local for check {"resource":"namespaces","scopes":[],"verb":"get"}
2020/02/05 09:22:48 oauthproxy.go:631: 10.128.2.1:34970 Permission Denied: user is unauthorized when redeeming token
2020/02/05 09:22:48 oauthproxy.go:434: ErrorPage 403 Permission Denied Invalid Account
2020/02/05 09:52:25 provider.go:382: authorizer reason: no RBAC policy matched
oc adm policy add-role-to-user view kirill -n monitoring
role "view" added: "kirill"
получаю все равно 403, куда копать?
cluster-monitoring-view кластерная роль нужна. Можно и ручками собрать свою роль конечно, главное разрешить oauth токены реквеститьАС
@asarosek oc adm policy add-cluster-role-to-user view kirill -n monitoring
вы имеете ввиду вот это?
вы имеете ввиду вот это?
угу
АС
Authentication is performed against the OKD identity and uses the same credentials or means of authentication as is used elsewhere in OKD. You must use a role that has read access to all namespaces, such as the cluster-monitoring-view cluster role
Говорят, что можно и просто view, главное чтобы был read-access ко всем ns
Говорят, что можно и просто view, главное чтобы был read-access ко всем ns
ET
Спасибо большое за помощь
VR
Authentication is performed against the OKD identity and uses the same credentials or means of authentication as is used elsewhere in OKD. You must use a role that has read access to all namespaces, such as the cluster-monitoring-view cluster role
Говорят, что можно и просто view, главное чтобы был read-access ко всем ns
Говорят, что можно и просто view, главное чтобы был read-access ко всем ns
view не сможет создавать реквесты к oauth серверу, так что видеть SA сможет, но юзер не сможет токен получить при логине
АС
Понятненько, учту, спасибо
g
Сходили к прокселогам, выяснили, что мастера игнорят переменные noproxy и ходят на бутстрап через прокю. В связи с этим вопрос, вот ребята пишут -
noProxy: .veterok.ru, .ocp4.corp.veterok.ru, 10.0.0.0/8. Виртуалки в 10.8.37.0/24. cidr: 10.254.0.0/16. Где ошибка?)VR
gloomy
Сходили к прокселогам, выяснили, что мастера игнорят переменные noproxy и ходят на бутстрап через прокю. В связи с этим вопрос, вот ребята пишут -
noProxy: .veterok.ru, .ocp4.corp.veterok.ru, 10.0.0.0/8. Виртуалки в 10.8.37.0/24. cidr: 10.254.0.0/16. Где ошибка?)как минимум сервисных CIDR нет
g
Как же 10.0.0.0/8?
g
Или каждую сеть нужно пистаь?