CyberArk Conjur follower, system error e reboot in fase di configurazione: come risolvere (verificare connettivita postgres in modo corretto)

Lavorando con CyberArk Conjur, mi sono trovato in una condizione anomala del comportamento dei follower, che ha necessitato di un pò di debug per venirne a capo.

I follower su Kubernetes erano in grado di contattare le API del nodo leader di Conjur in modo corretto, quindi si inizializzava la configurazione del follower, ma poi questa non finiva andando in un generico System Error e il pod del follower iniziava a riavviarsi.

Dopo alcune analisi abbiamo capito che il problema era lato network load balancer che esponeva la porta Postgres in modo non corretto.

In prima fase di troubleshooting avevamo verificato la connettività dal follower al leader tramite il comando nc. ma questo non è ovviamente sufficente perchè verifica la connettività TCP fra follower e loadbalancer.

Per vedere se in effetti la connettività Postgres può funzionare, è necessario utilizzare questo comando openssl:

echo "" | openssl s_client -starttls postgres -connect <lb_DNS>:5432 -showcerts

In caso di successo, fornisce il certificato del server. 

Ringrazio il supporto CyberArk per avercelo girato (noi avevamo fatto la verifica in altro modo meno elegante con stesso risultato). 

Per altre opzioni e spiegazioni aggiuntive sul comando  openssl s_client, vi rimando a questo blogpost che trovo ben fatto e completo.