Lavorando con CyberArk Conjur, mi sono trovato in una condizione anomala del comportamento dei follower, che ha necessitato di un pò di debug per venirne a capo.
I follower su Kubernetes erano in grado di contattare le API del nodo leader di Conjur in modo corretto, quindi si inizializzava la configurazione del follower, ma poi questa non finiva andando in un generico System Error e il pod del follower iniziava a riavviarsi.
Dopo alcune analisi abbiamo capito che il problema era lato network load balancer che esponeva la porta Postgres in modo non corretto.
In prima fase di troubleshooting avevamo verificato la connettività dal follower al leader tramite il comando nc. ma questo non è ovviamente sufficente perchè verifica la connettività TCP fra follower e loadbalancer.
Per vedere se in effetti la connettività Postgres può funzionare, è necessario utilizzare questo comando openssl:
echo "" | openssl s_client -starttls postgres -connect <lb_DNS>:5432 -showcerts
Nessun commento:
Posta un commento