V-
(это в дополнение к шагам по конфигурации корневых сертификатов)
Size: a a a
2019 October 24
SJ
Спасибо. В 4.2 пробовали
SJ
Изначально
V-
для 4.2 шаги описаны в этом баге
SJ
Это попробуем завтра
SJ
Ждите 15 минут мне особо нравится
V
говорят пофикшено в 4.2, но я не верю
Добрее надо быть к людям!
V-
Ждите 15 минут мне особо нравится
операторы обновляют серты во всех *-token секретах
V-
чтобы не ждать убей поды консоли
V-
для 4.1 этот воркараунд работает, проверено при апдейтах с 4.1.0 до 4.1.18, ничего не ломается
ES
привет! подскажите, пожалуйста, по ситуации:
у меня есть несколько подов в default-неймспейсе на infra-нодах, часть из которых я хочу ограничить от доступа к другим подам
допустим, есть под metrics и под router. и есть дефолтная политика "пускать только поды из своего проекта"
я хочу пускать поды metrics куда угодно, а вот поды router — нет
NetworkPolicy работает по IP в данном случае (10.1.1.1/31 — это адреса infra-нод)
но не работает по podSelector:
in
у меня есть несколько подов в default-неймспейсе на infra-нодах, часть из которых я хочу ограничить от доступа к другим подам
допустим, есть под metrics и под router. и есть дефолтная политика "пускать только поды из своего проекта"
я хочу пускать поды metrics куда угодно, а вот поды router — нет
NetworkPolicy работает по IP в данном случае (10.1.1.1/31 — это адреса infra-нод)
ingress:
- from:
- ipBlock:
cidr: 10.1.1.1/31
podSelector: {}
policyTypes:
- Ingress
но не работает по podSelector:
in
gress:может быть, есть какие-то особенности default неймспейса? или infra нод? (соответствующие labels есть везде)
- from:
- namespaceSelector:
matchLabels:
namespace: default
podSelector:
matchLabels:
app: metrics
podSelector: {}
policyTypes:
- Ingress
кажется, я нашёл свой ответ. спасибо за внимание )
дело не в типе нод и проектов, а в использовании hostnetwork
Dan Winship 2019-01-30 15:08:08 UTC
Argh. Sorry, I think the whole hardware vs virtual thing is completely irrelevant. The problem isn't the nodes, it's the pod in question; the source pod is using hostNetwork, right? A pod which is hostNetwork uses its node's network interface for communication, so there's no way for NetworkPolicy to distinguish traffic-from-the-pod from traffic-from-the-node. As a result, both are considered to be coming from the default/VNID 0 namespace.
There's no workaround for this; it is inherent to the way that hostNetwork works. (A hostNetwork pod has full access to the node's network interfaces; if it wanted to, it could even write its own fake VXLAN packets to the network and pretend to be another pod.) If you can't trust that the pod is going to behave, then you can't safely give it hostNetwork access.
дело не в типе нод и проектов, а в использовании hostnetwork
Dan Winship 2019-01-30 15:08:08 UTC
Argh. Sorry, I think the whole hardware vs virtual thing is completely irrelevant. The problem isn't the nodes, it's the pod in question; the source pod is using hostNetwork, right? A pod which is hostNetwork uses its node's network interface for communication, so there's no way for NetworkPolicy to distinguish traffic-from-the-pod from traffic-from-the-node. As a result, both are considered to be coming from the default/VNID 0 namespace.
There's no workaround for this; it is inherent to the way that hostNetwork works. (A hostNetwork pod has full access to the node's network interfaces; if it wanted to, it could even write its own fake VXLAN packets to the network and pretend to be another pod.) If you can't trust that the pod is going to behave, then you can't safely give it hostNetwork access.
2019 October 25
SJ
в 4.1 сделай: 1. oc edit cm localhost-serving-ca -n openshift-kube-apiserver-operator
2. Add your root CA in addition to exiting CA
3. Wait ~15 minutes.
2. Add your root CA in addition to exiting CA
3. Wait ~15 minutes.
Спасибо. Работает
MS
А у всех на этой недели Monitoring Data в https://cloud.redhat.com сломалась?
V
Michael Silich
А у всех на этой недели Monitoring Data в https://cloud.redhat.com сломалась?
MS
ну это так да. Но кластер жив и радуеться жизни :D
V
На 4.2 у меня учебный ) для ужасных экспериментов
MS
MS
На 4.2 у меня учебный ) для ужасных экспериментов
у меня также. Даже 4.3 и 4.4 будет для тестов только :)
V
Как можно форсировать применение машинконфигов актуальных для версии OCP если я там руками сделал бардак ?