ES
Может ли auto approve csr привести к каким-либо проблемам?
Size: a a a
2020 November 05
GM
Негодяи получают дыру.
OS
Может ли auto approve csr привести к каким-либо проблемам?
кмк нет если он правильно реализован
OS
ручной аппрув упражнение для сильных духом если csr более 1000 например, что частенько наблюдал
DG
я понимаю, но этот kube-proxy по итогу на мастер ноде
он на какждой ноде кластера есть
DG
свой личный, он иптаблес настраивает на конечных серверах
МШ
он на какждой ноде кластера есть
если бы был то поднимал 80 и 443 порт
МШ
а так только kubelet доступен
DG
кубе-прокси != роутер опеншифта
МШ
кубе-прокси != роутер опеншифта
это я уже понял
МШ
но если слать запросы с nginx (как внешний балансировщик) то на какой порт на воркере?
DG
роутер можно нодселектором на любые сервера перенести в кластере
DG
и на них откроется 80, 443 порты
МШ
роутер можно нодселектором на любые сервера перенести в кластере
спасибо , посмотрю
IZ
@vrutkovs а не подскажешь, где описание, как тюнить ETCD на OCP-4.5? Честно поискал, но не нашел
IZ
знаю какие значения хочу изменить, где менять?
VR
Igor Zachinyaev
@vrutkovs а не подскажешь, где описание, как тюнить ETCD на OCP-4.5? Честно поискал, но не нашел
никак, ими cluster-etcd-operator управляет
IZ
хороший ответ. А если кластер очень большой?
VR
Igor Zachinyaev
хороший ответ. А если кластер очень большой?
ребята пишут enhancement чтобы таймауты автоматически изменялись, в зависимости от метрик
2020 November 06
k
Привет, вкатил OLM на ванильный куб, apiserver не может достучаться к packageserver:
лог packageserver подсказвает что что-то не так с сертификатом:
подскажите, в какую сторону копать?
1 available_controller.go:437] v1.packages.operators.coreos.com failed with: failing or missing response from https://10.103.42.53:5443/apis/packages.operators.coreos.com/v1: bad status from https://10.103.42.53:5443/apis/packages.operators.coreos.com/v1: 401
лог packageserver подсказвает что что-то не так с сертификатом:
12 authentication.go:53] Unable to authenticate the request due to an error: [x509: subject with cn=microservices-kubernetes-pki-front-proxy-client is not in the allowed list, x509: certificate signed by unknown authority]
подскажите, в какую сторону копать?
BTW, проблема была в том что CN моего apiserver client сертификата отсутсвовало в requestheader-allowed-names в extension-apiserver-authentication конфигмапе.