GG
И можно легко это с мастера инициировать
Size: a a a
2020 December 15
GG
Иначе стейт неопределён
YZ
но зачем если достаточно сертификата?
да мне все равно все это говно на несколько мастеров раскидывать. так что приватные ключи в любом случае будут опубликованы
YZ
мастеров кубернетеса*
YZ
Как диаграмму процесса
процесс ансибловый такой. на одном из мастеров генерятся CA серты и еще пара тройка "общих" и распихиваются по остальным нодам. на самих нодах уже генерятся серты kubelet-а и прочего говна.
а solt way какой в таком случае?
а solt way какой в таком случае?
GG
На основе Солта можно построить PKI
Как ?
YZ
На основе Солта можно построить PKI
да, но меня могут послать нахуй с этим For remote signing, peers must be permitted to remotely call the sign_remote_certificate function.
а во вторых - мне все равно тащить одинаковый набор сертов на N мастеров куба
поэтому я думал сгенерить серты на одном, опубликовать их в майнах и забрать на остальные
а во вторых - мне все равно тащить одинаковый набор сертов на N мастеров куба
поэтому я думал сгенерить серты на одном, опубликовать их в майнах и забрать на остальные
YZ
но я так понимаю я еще столкнусь с тем, что просто так запустить salt '*' state.apply у меня не выйдет и я получу херню? мне нужно будет сначала запускать аплай на условный СА-сервер и только потом на остальные?
YZ
воняет императивщиной
R
но я так понимаю я еще столкнусь с тем, что просто так запустить salt '*' state.apply у меня не выйдет и я получу херню? мне нужно будет сначала запускать аплай на условный СА-сервер и только потом на остальные?
очевидно же, надо использовать orch в данном случае, иначе откуда в mine возьмутся опубликованный серты?
R
воняет императивщиной
суровая реальность
YZ
буду_проституткой.jpg
GG
для запуска чего либо работающего на нескольких серверах, но при этом требующего определенный порядок выполнения без orch почти нереально обойтись
+++