S
может это зависеть от сертификатов как-то?
Size: a a a
2020 May 27
S
допустим сформировавшиеся роуты на самоподписных сертах?
GS
Коллеги, добрый день.
А у кого есть практика деплоя кастомных сертификатов в кластер 3.11 где кол-во мастеров более 1?
А у кого есть практика деплоя кастомных сертификатов в кластер 3.11 где кол-во мастеров более 1?
Если речь про сертификаты которые будут отдаваться роутером, деплоил на 3 мастера сертификат от Let's Encrypt, там одна строчка в пплейбуке добавляется.
S
Если 500 это ошибка бекенда
нашел корень:
2020/05/27 12:25:00 oauthproxy.go:635: error redeeming code (client:10.128.0.1:45710): Post https://console.my.domain:8443/oauth/token: x509: certificate signed by unknown authority
2020/05/27 12:25:00 oauthproxy.go:434: ErrorPage 500 Internal Error Internal Error
2020/05/27 12:25:01 provider.go:382: authorizer reason: no RBAC policy matched
S
это в прокси-сервисах логгирования и мониторинга
S
если вдруг кто-то знает как это разруливать и хорошо понимает в сертификатах шифта - был бы рад
S
по идее, единственное, что, кмк, могло повлиять как-то :
делал Let's Encrypt для веб-консоли
openshift_master_overwrite_named_certificates=true
openshift_master_named_certificates=[{"certfile":....
делал Let's Encrypt для веб-консоли
AB
Как менять у роутера понятно, интересует замена по требованиям ИБ сертификатов мастер-нод и etcd. Я предчувствуя боль, решилиуточнить может кто то такой кейс решал. В мануале есть пример но там для одного мастера.
MS
У нас Lets encrypt для роутеров как и для мастер под. Делал все как по доке. Работает как в версии 3.11 так и в 4.х.
MS
Три мастера, 6 инфр нод. И 40 воркеров. Все работает на ура.
VR
Как менять у роутера понятно, интересует замена по требованиям ИБ сертификатов мастер-нод и etcd. Я предчувствуя боль, решилиуточнить может кто то такой кейс решал. В мануале есть пример но там для одного мастера.
сертификаты всех мастеров генерятся на основе _named_certificates
AB
А это можно через плэйбуку закинуть? Просто в мане указано обязательное присутствие имен хостов и ip
VR
А это можно через плэйбуку закинуть? Просто в мане указано обязательное присутствие имен хостов и ip
этот параметр для всех один. Там не нужно указывать все хосты и IP, только дополнительные хосты, типа публичного имени для лоадбалансера
VR
то есть от вас ИБшники требуют сгенерить для каждого мастера сертификат и подложить его на соотвествующий хост? Его опеншифт может не воспринять
VR
думаю вам нужен
openshift_master_ca_certificate чтобы плейбук сгенерил сертификаты валидные на вашем CAAB
то есть от вас ИБшники требуют сгенерить для каждого мастера сертификат и подложить его на соотвествующий хост? Его опеншифт может не воспринять
У меня такая же позиция.
CA соответственно с приватником ни кто не даст, что бы их подписать )
CA соответственно с приватником ни кто не даст, что бы их подписать )
AB
пока идея только выловить csr и отдать в ИБ на выпуск сертификатов а потом подсунуть на хосты.
AB
потом отпишусь чем закончилось :)
L
Подскажите, нет ли у кого-нибудь образа postgresql (или докерфайла) для unprivileged-запуска ?
AB
у bitnami есть