Ну у нас схема ещё далека от идеала, так что опишу к чему стремлюсь:

В одном репо ведётся разработка приложения, пайплайн там такой (стреляет на создание тэга):
- юнит-тесты
- сборка и пуш докер-имаджа
- сборка и пуш helm-чарта
- возможно деплой в тестовый кластер и запуск интеграционные тестов
- создание релиза

Отдельный репо для деплоя в кластер.
Пайплайн в принципе не нужен, т.к. можно воспользоваться какой-нибудь GitOps-тулзой: ArgoCD или FluxCD.
Стреляет при пуше в master или в ветку конуретного окружения staging / production.

Народ, а кто с dex-k8s-auth ковырялся, подскажите плз.
Установил сам Dex, связал с LDAP-ом, все работает нормально, example-app авторизуется, показывает группы, все ок.

далее деплою в куб dex-k8s-authenticator, его связываю с настроенным раннее Dex-ом, для kube-api прописываю oidc ключи как в доке.
Тут проблема в том, что это managed кластер Scaleway, и к kube-api у меня доступа нет, ни к логам, ни к процессам.
Но поскольку терраформом все заезжает, предполагаю что должно работать.

Далее, браузером иду на опубликованный dex-k8s-authenticator, успешно авторизуюсь, он корректно генерит мне kubeconfig.

Проблема только в том, что с этим конфигом не пускает сам куб, с ошибкой "error: You must be logged in to the server (Unauthorized)”.
Повторяюсь, к логам kube-api доступа у меня нет.

Чисто логически проблема может быть с тем, что kube-api таки не получил OIDC параметры, или это прявлялось бы по другому?

о может эти тулз мне и не хватало, спасибо за наводку

не могу блин с мастером ничего сделать, там managed control plane.

мне доступны только сами рабочие ноды

не могу блин с мастером ничего сделать, там managed control plane.

о может эти тулз мне и не хватало, спасибо за наводку

Тогда удачи в дэбаге:) в куб апи ты так и так пишешь oidc подробности для дех в том числе, но дэбажтьь это яд. Рестарт пода куб апи скорее всего тупо не поможет

ну я пока нашел версию (дебаг методом уточки, ага) - у меня в самом дексе и в настройке для куб-апи отличает атрибут username - декс матчит через username, а в кубе стоит email.
но если дело не в этом, то болт конечно.

Если ты приходишь в куб апи с верным контекстом и ты на 100% в этом уверен, значит куб апи не применил настройки которые ты ему для оидс дал.

ну я пока нашел версию (дебаг методом уточки, ага) - у меня в самом дексе и в настройке для куб-апи отличает атрибут username - декс матчит через username, а в кубе стоит email.
но если дело не в этом, то болт конечно.

Не должно быть