Denis

там проблемы похожи для @coreos_ru

Denis

отправил все три ноды в ребут

Denis

конфиги вроде валидные

Maxim

Ну апи + етцд + kubectl работают?

Maxim

$ kubectl get no Должно мастер-ноду возвращать

Denis

сейчас новый контекст создам для kubectl

Anonymous

пока не перегенеришь весь CA

Чойто? Там разве нет проверки на отозванные серты?

Maxim

А как?

Maxim

Ну вот чисто физически как ты это себе представляешь?

Maxim

У аписервера есть только публичная часть CA

Maxim

С ее помощью оно проверяет, что сертификат входящего действительно подписан этим CA

Maxim

От того, что я его отозвал, он не перестает быть подписаным

Denis

Ну т.е. типа black-list

Anonymous

С ее помощью оно проверяет, что сертификат входящего действительно подписан этим CA

Дык а как ты думаешь браузеры работают?

Anonymous

Как там отзываются сертификаты

Maxim

Ну расскажи мне

Anonymous

Он ходит в СА и проверяет, отозван ли

Anonymous

OCSP все дела

Maxim

Наверное я тут чего-то не знаю

Maxim

А теперь в мане к аписерверу покажи мне это

Maxim

;)

Anonymous

Хотя вот. https://github.com/coreos/etcd/issues/4034

Denis

:)

Denis

todo world

Maxim

Сертификаты-то самоподписанные

Maxim

Весь "удостоверяющий центр" находится на моем лаптопе

Maxim

Только тут я могу сертификаты выпускать, подписывать и отзывать

Maxim

А кубернетес может только проверить, действительно ли я этот сертификат подписывал и не истек ли он

Anonymous

Весь "удостоверяющий центр" находится на моем лаптопе

Это уже детали.

Anonymous

Можно же хоть let's encrypt прикрутить

Denis

пока упоролся с CoreOS юнитом)

Denis

надо было ему полный путь до mkdir

Maxim

Можно же хоть let's encrypt прикрутить

А юзерам сертификаты как выпускать через него?

Maxim

Которые не имеют ни айпи, ни доменов

Anonymous

Наверняка что-то можно придумать

Anonymous

Было бы желание. Доменов третьего уровня нагенерить можно много.

Denis

Вопрос - надо ли?)

Anonymous

Это другой вопрос) мы о технической части.

Anonymous

Но я согласен, что с токенами удобнее будет.

Denis

$ /opt/bin/kubelet /opt/bin/kubelet: line 1: syntax error near unexpected token `<' /opt/bin/kubelet: line 1: `<?xml version='1.0' encoding='UTF-8'?><Error><Code>NoSuchKey</Code><Message>The specified key does not exist.</Message></Error>'

Denis

приехали))

Maxim

Какая-то хуйня там вместо симлинка ;)

Denis

)) именно

Maxim

А чмод +х сделал на скаченный кьюблет?

Denis

а ну всё понятно

Denis

я в версии забыл v указать

Denis

он отсюда пытался забрать https://storage.googleapis.com/kubernetes-release/release/1.3.6/bin/linux/amd64/kubelet

Maxim

Ггг

Maxim

Бывает

Denis

в sudo journalctl -u kube-kubelet -f ругается: Aug 27 17:16:17 loadbal1 kubelet[4453]: I0827 17:16:17.247263 4453 operation_executor.go:843] UnmountVolume.TearDown succeeded for volume "kubernetes.io/secret/644a6f32-5fd2-11e6-a399-44a842348b74-default-token-yxrvo" (OuterVolumeSpecName: "default-token-yxrvo") pod "644a6f32-5fd2-11e6-a399-44a842348b74" (UID: "644a6f32-5fd2-11e6-a399-44a842348b74"). InnerVolumeSpecName "default-token-yxrvo". PluginName "kubernetes.io/secret", VolumeGidValue ""

Maxim

Это нормально

Maxim

Контроллер-манагера еще нет

Maxim

Он придет и повыпускает эти секреты

Denis

а

Denis

я уже запаниковал

Denis

на миньонах должен быть только манифест для прокси, правильно?

Maxim

Да

Denis

Сижу в Старбаксе. Обновляю конфиг в CoreOS. Рядом парень с девушкой - свидание. Она ему что-то увлеченно рассказывает. А он у меня в мониторе залипает.

Denis

Нас не изменить )

Denis

# kubectl get no # kubectl get namespaces NAME STATUS AGE default Active 43m kube-system Active 43m

Alexander

😂

Maxim

Ну чего там?

Maxim

Поперло?

Maxim

Сижу в Старбаксе. Обновляю конфиг в CoreOS. Рядом парень с девушкой - свидание. Она ему что-то увлеченно рассказывает. А он у меня в мониторе залипает.

Свидание в старбаксе…

Maxim

С другой стороны - могло бы и в макдональдсе…

Anonymous

С другой стороны - могло бы и в макдональдсе…

И не свидание...

Denis

И не с девушкой?)

Denis

Поперло?

kubectl get no показывает ничего - это ок? )

Maxim

Kubelet и прокси запущены?

Denis

Прокси!

Denis

Точно!

Denis

и ещё кстати kubectl не обновил

Denis

вот теперь обновил

Denis

kubectl get no по прежнему пусто

Denis

и ещё занятно, что kubectl cluster-info dump возвращает список со старым namespaces

Denis

journalctl -u kube-kubelete -f на мастере говорит, что kube-controller-manager не удаётся запустить

Denis

kubectl get po --namespace kube-system тоже пусто

Denis

Максим, модификация etcd в моём случае (как второй инстанс) должна быть такая? ... - "/usr/local/bin/etcd --listen-peer-urls 'http://127.0.0.1:3380' --listen-client-urls 'http://127.0.0.1:3379' --advertise-client-urls 'http://127.0.0.1:3379' --data-dir /var/lib/etcd" # --client-cert-auth true --trusted-ca-file /etc/kubernetes/ssl/ca.pem --cert-file /etc/kubernetes/ssl/apiserver.pem --key-file /etc/kubernetes/ssl/apiserver-key.pem --peer-client-cert-auth true --peer-trusted-ca-file /etc/kubernetes/ssl/ca.pem --peer-cert-file /etc/kubernetes/ssl/apiserver.pem --peer-key-file /etc/kubernetes/ssl/apiserver-key.pem livenessProbe: httpGet: host: 127.0.0.1 port: 3379 path: "/health" initialDelaySeconds: 15 timeoutSeconds: 15 ports: - name: serverport containerPort: 3380 hostPort: 3380 - name: clientport containerPort: 3379 hostPort: 3379 ...

Denis

нашёл ещё расхождение, что версия controller-manager 1.3.5, а не 1.3.6. перезапустил