MS
тоже вначале было, попробуйте прибить поды для ingress и oauth
Size: a a a
2019 October 24
VR
не надо ничего прибивать, оператор сам знает что делать
SJ
Ну ингрес перезапускается после обновления оператора
MS
на 4.0 не знал. Приходилось помогать ^^
SJ
Серты верные подсовываются, это видно из браузера, он сразу видит нужный серт. В когда логинишься, переадресация c oauth к консоли переходит в луп, так как серты не те
MS
а с kubevirt ктото игрался уже? Как после аплода имаджа инстанц запустить? Делаю по этой доки https://docs.openshift.com/container-platform/4.1/cnv/cnv_users_guide/cnv-uploading-local-disk-images-virtctl.html
SJ
Подсунули серты в ручную, заработала консоль, но все остальные, которые требуют oauth, мониторинг, прометеус, так же ломятся в oauth и не могут достучатся
VR
надо писать в багзиллу, не забудьте там указать cluster id и прикрепить
oc adm must-gatherES
привет! подскажите, пожалуйста, по ситуации:
у меня есть несколько подов в default-неймспейсе на infra-нодах, часть из которых я хочу ограничить от доступа к другим подам
допустим, есть под metrics и под router. и есть дефолтная политика "пускать только поды из своего проекта"
я хочу пускать поды metrics куда угодно, а вот поды router — нет
NetworkPolicy работает по IP в данном случае (10.1.1.1/31 — это адреса infra-нод)
но не работает по podSelector:
in
у меня есть несколько подов в default-неймспейсе на infra-нодах, часть из которых я хочу ограничить от доступа к другим подам
допустим, есть под metrics и под router. и есть дефолтная политика "пускать только поды из своего проекта"
я хочу пускать поды metrics куда угодно, а вот поды router — нет
NetworkPolicy работает по IP в данном случае (10.1.1.1/31 — это адреса infra-нод)
ingress:
- from:
- ipBlock:
cidr: 10.1.1.1/31
podSelector: {}
policyTypes:
- Ingress
но не работает по podSelector:
in
gress:может быть, есть какие-то особенности default неймспейса? или infra нод? (соответствующие labels есть везде)
- from:
- namespaceSelector:
matchLabels:
namespace: default
podSelector:
matchLabels:
app: metrics
podSelector: {}
policyTypes:
- Ingress
VR
вроде нет у default никаких особенностей, но вот синтаксис некорретный имхо
VR
- podSelector:
VR
чтобы оно стало отдельным элементом, а не объединялось с
namespaceSelectorES
разве? мне же надо пустить поды metrics из проекта default, а не отдельно все поды проекта default + все поды metrics любых проектов
ES
в любом случае,
тоже не сработало (
ingress:
- from:
- namespaceSelector:
matchLabels:
namespace: default
- podSelector:
matchLabels:
app: metrics
podSelector: {}
policyTypes:
- Ingress
тоже не сработало (
ES
более того, даже
тоже не пропускает запросы из моего сервиса (хотя пускает из других неймспейсов с compute-нод)
- namespaceSelector: {}
podSelector: {}тоже не пропускает запросы из моего сервиса (хотя пускает из других неймспейсов с compute-нод)
V-
говорят пофикшено в 4.2, но я не верю
V-
в 4.1 сделай: 1. oc edit cm localhost-serving-ca -n openshift-kube-apiserver-operator
2. Add your root CA in addition to exiting CA
3. Wait ~15 minutes.
2. Add your root CA in addition to exiting CA
3. Wait ~15 minutes.
V-
после этого будет все ок