Size: a a a

OpenShift - русскоязычное сообщество

2020 May 27

S

Svetozar in OpenShift - русскоязычное сообщество
может это зависеть от сертификатов как-то?
источник

S

Svetozar in OpenShift - русскоязычное сообщество
допустим сформировавшиеся роуты на самоподписных сертах?
источник

GS

Gennady Sychev in OpenShift - русскоязычное сообщество
Alex Bobrov
Коллеги, добрый день.
А у кого есть практика деплоя кастомных сертификатов в кластер 3.11 где кол-во мастеров более 1?
Если речь про сертификаты которые будут отдаваться роутером, деплоил на 3 мастера сертификат от Let's Encrypt, там одна строчка в пплейбуке добавляется.
источник

S

Svetozar in OpenShift - русскоязычное сообщество
Jürgen Romins
Если 500 это ошибка бекенда
нашел корень:
2020/05/27 12:25:00 oauthproxy.go:635: error redeeming code (client:10.128.0.1:45710): Post https://console.my.domain:8443/oauth/token:  x509: certificate signed by unknown authority
2020/05/27 12:25:00 oauthproxy.go:434: ErrorPage 500 Internal Error Internal Error
2020/05/27 12:25:01 provider.go:382: authorizer reason: no RBAC policy matched
источник

S

Svetozar in OpenShift - русскоязычное сообщество
это в прокси-сервисах логгирования и мониторинга
источник

S

Svetozar in OpenShift - русскоязычное сообщество
если вдруг кто-то знает как это разруливать и хорошо понимает в сертификатах шифта - был бы рад
источник

S

Svetozar in OpenShift - русскоязычное сообщество
по идее, единственное, что, кмк, могло повлиять как-то :
openshift_master_overwrite_named_certificates=true
openshift_master_named_certificates=[{"certfile":....

делал Let's Encrypt для веб-консоли
источник

AB

Alex Bobrov in OpenShift - русскоязычное сообщество
Как менять у роутера понятно, интересует замена по требованиям ИБ сертификатов мастер-нод и etcd. Я предчувствуя боль, решилиуточнить может кто то такой кейс решал. В мануале есть пример но там для одного мастера.
источник

MS

Michael Silich in OpenShift - русскоязычное сообщество
У нас Lets encrypt для роутеров как и для мастер под. Делал все как по доке. Работает как в версии 3.11 так и в 4.х.
источник

MS

Michael Silich in OpenShift - русскоязычное сообщество
Три мастера, 6 инфр нод. И 40 воркеров. Все работает на ура.
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
Alex Bobrov
Как менять у роутера понятно, интересует замена по требованиям ИБ сертификатов мастер-нод и etcd. Я предчувствуя боль, решилиуточнить может кто то такой кейс решал. В мануале есть пример но там для одного мастера.
сертификаты всех мастеров генерятся на основе _named_certificates
источник

AB

Alex Bobrov in OpenShift - русскоязычное сообщество
А это можно через плэйбуку закинуть? Просто в мане указано обязательное присутствие имен хостов и ip
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
Alex Bobrov
А это можно через плэйбуку закинуть? Просто в мане указано обязательное присутствие имен хостов и ip
этот параметр для всех один. Там не нужно указывать все хосты и IP, только дополнительные хосты, типа публичного имени для лоадбалансера
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
то есть от вас ИБшники требуют сгенерить для каждого мастера сертификат и подложить его на соотвествующий хост? Его опеншифт может не воспринять
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
думаю вам нужен openshift_master_ca_certificate чтобы плейбук сгенерил сертификаты валидные на вашем CA
источник

AB

Alex Bobrov in OpenShift - русскоязычное сообщество
Vadim Rutkovsky
то есть от вас ИБшники требуют сгенерить для каждого мастера сертификат и подложить его на соотвествующий хост? Его опеншифт может не воспринять
У меня такая же позиция.
CA соответственно с приватником ни кто не даст, что бы их подписать )
источник

AB

Alex Bobrov in OpenShift - русскоязычное сообщество
пока идея только выловить csr и отдать в ИБ на выпуск сертификатов а потом подсунуть на хосты.
источник

AB

Alex Bobrov in OpenShift - русскоязычное сообщество
потом отпишусь чем закончилось :)
источник

L

LeiDruid in OpenShift - русскоязычное сообщество
Подскажите, нет ли у кого-нибудь образа postgresql (или докерфайла) для unprivileged-запуска ?
источник

AB

Alex Bobrov in OpenShift - русскоязычное сообщество
у bitnami есть
источник