k
Коллеги, привет!
Есть селфхостед GitLab с включенным Registry, оба с самоподписанным сертификатом. Есть GitLab Runner, развернутый официальным Helm chart'ом в K8s, раннер успешно зарегистрирован в гитлабе (в кубере создал секрет с сертификатом, прописал его имя в чарте), джобы запускает и даже может собирать и пушить докер-образы в реджистри (через services.command: ['--insecure-registry ...']). Теперь возникла проблема с использованием этих образов в джобах в качестве базовых, типа deploy.image: $CI_REGISTRY_IMAGE: джоба спотыкается с ошибкой "ERROR: Job failed: image pull failed: Back-off pulling image ...".
Судя по логам раннера, ему не нравится самоподписанный сертификат, что логично, т.к. добавление секрета в чарт, согласно документации, решает проблему с сертификатом только при регистрации раннера. Почитал еще документацию, попытался добавить в проблемную джобу переменную DOCKER_AUTH_CONFIG, где указал свой реджистри как insecure-registry -- не помогло, только сообщение об ошибке стало более явным: x509: certificate signed by unknown authority.
Нашел, что три года назад была выпилена, по видимому, нужная мне опция -- tls-skip-verify: https://gitlab.com/gitlab-org/gitlab-runner/-/issues/1754. Но так или иначе ее или что-то еще нужно как-то добавить в config.toml. Нашел в документации противоречивую информацию: тут нельзя сделать это через чарт -- https://docs.gitlab.com/ee/ci/docker/using_docker_build.html#tls-enabled, а тут уже можно через темплейт (точнее, дополнение) -- https://docs.gitlab.com/runner/register/index.html#runners-configuration-template-file. В любом случае не очень понятно, что и куда там добавлять в моем случае.
Подскажите, пожалуйста, если кто сталкивался и поборол, как вы это сделали.
Есть селфхостед GitLab с включенным Registry, оба с самоподписанным сертификатом. Есть GitLab Runner, развернутый официальным Helm chart'ом в K8s, раннер успешно зарегистрирован в гитлабе (в кубере создал секрет с сертификатом, прописал его имя в чарте), джобы запускает и даже может собирать и пушить докер-образы в реджистри (через services.command: ['--insecure-registry ...']). Теперь возникла проблема с использованием этих образов в джобах в качестве базовых, типа deploy.image: $CI_REGISTRY_IMAGE: джоба спотыкается с ошибкой "ERROR: Job failed: image pull failed: Back-off pulling image ...".
Судя по логам раннера, ему не нравится самоподписанный сертификат, что логично, т.к. добавление секрета в чарт, согласно документации, решает проблему с сертификатом только при регистрации раннера. Почитал еще документацию, попытался добавить в проблемную джобу переменную DOCKER_AUTH_CONFIG, где указал свой реджистри как insecure-registry -- не помогло, только сообщение об ошибке стало более явным: x509: certificate signed by unknown authority.
Нашел, что три года назад была выпилена, по видимому, нужная мне опция -- tls-skip-verify: https://gitlab.com/gitlab-org/gitlab-runner/-/issues/1754. Но так или иначе ее или что-то еще нужно как-то добавить в config.toml. Нашел в документации противоречивую информацию: тут нельзя сделать это через чарт -- https://docs.gitlab.com/ee/ci/docker/using_docker_build.html#tls-enabled, а тут уже можно через темплейт (точнее, дополнение) -- https://docs.gitlab.com/runner/register/index.html#runners-configuration-template-file. В любом случае не очень понятно, что и куда там добавлять в моем случае.
Подскажите, пожалуйста, если кто сталкивался и поборол, как вы это сделали.
Доброго времени суток,
та же фигня появилась, несколько дней назад на одном из пайплайнов.. один проект, 2 инстанса, один обновляется нормально, второй выдаёт
Что это может быть? на прошлой неделе всё прекрасно работало..
та же фигня появилась, несколько дней назад на одном из пайплайнов.. один проект, 2 инстанса, один обновляется нормально, второй выдаёт
Error: Kubernetes cluster unreachable: Get https://x.x.x.x:6443/version?timeout=32s: x509: certificate signed by unknown authority
Что это может быть? на прошлой неделе всё прекрасно работало..
