тогда 3)

https://insinuator.net/wp-content/uploads/2019/11/201911_DSC_OpenShift_v1.0_export.pdf
How to Secure OpenShift Environments and What Happens If You Don ́t

Кстати кто-нибудь знает какая дефолтная фс на Fedora Core? XFS или Ext4?

xfs

👍

у меня на воркстейшн ext4

Коллеги доборого дня, а может кто-то подсказать в стандартном реджестри опеншифта, можно как-то сделать
registry garbage-collect?
в контейнере с реджестри есть только такой процесс
dockerregistry

у шапки везде XFS

Коллеги подскажите кто в курсе, каких прав может не хватать system:serviceaccount:default:registry cannot list images.image.openshift
я добавил пользователю
add-cluster-role-to-user registry-viewer
но чет не помогло

Флант опубликовал статью, упомянув баг в ядре. https://m.habr.com/ru/company/flant/blog/489668/ насколько это актуально для openshift 3.11 и 4.3?

и еще вопрос к предыдущему, почему он лезет под юзером system:serviceaccount:default:registry если я залогинен под другим?

для 4.x нет - в rhcos 4.18, в fcos 5.5. Для 3.x наверное тоже нет, предполагаю что фикс давно бэкпортнули в rhel/centos

кто лезет и куда?

какому пользователю?

ну я пытался сделать
oc exec docker-registry-3-vhndw \
>     -- /bin/sh -c 'REGISTRY_LOG_LEVEL=info /usr/bin/dockerregistry -prune=check'^C
[root@okdmstr01 ]#  oc -n default \
>     exec "$(oc -n default get pods -l deploymentconfig=docker-registry \
>       -o jsonpath=$'{.items[0].metadata.name}\n')" \
>     -- /bin/sh \
>     -c 'REGISTRY_LOG_LEVEL=info /usr/bin/dockerregistry -prune=check'

залогинен я под пользователем admins

add-cluster-role-to-user registry-viewer  это добавил сюда system:serviceaccount:default:registry

при попытке выполнить скрипт выше получаю в консоли
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_PORT"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_PORT_9000_TCP"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_PORT_9000_TCP_ADDR"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_PORT_9000_TCP_PORT"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_PORT_9000_TCP_PROTO"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_SERVICE_HOST"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_SERVICE_PORT"
time="2020-04-10T13:11:18Z" level=warning msg="Ignoring unrecognized environment variable REGISTRY_CONSOLE_SERVICE_PORT_REGISTRY_CONSOLE"
time="2020-04-10T13:11:18Z" level=info msg="DEPRECATED: \"OPENSHIFT_DEFAULT_REGISTRY\" is deprecated, use the 'REGISTRY_OPENSHIFT_SERVER_ADDR' instead"
time="2020-04-10T13:11:18.848749839Z" level=info msg="start prune (dry-run mode)" distribution_version=v2.6.2+unknown go.version=go1.10.3 instance.id=096c9ffa-f7ca-43a5-bf4f-160b5b65f6c5 openshift_version=v3.11.0+9cca740-6
Would delete 0 blobs
Would free up 0B of disk space
Use -prune=delete to actually delete the data
time="2020-04-10T13:11:18.862956503Z" level=error msg="error listing images: images.image.openshift.io is forbidden: User \"system:serviceaccount:default:registry\" cannot list images.image.openshift.io at the cluster scope: no RBAC policy matched"

вот я и не пойму то ли я дурак то ли лыжи не едут