@LuckySB open policy agent умеешь готовить? Версия 3.5.2. Есть правила

Question

@LuckySB open policy agent умеешь готовить? Версия 3.5.2. Есть правила

уникальность ингрессов, use root, use tag latest. При включенном syncOnly он синкает внутрь себя ресурсы. И поды начинают жрать по 1Gi+ озу. Вроде все работает, но появляются ошибки вида
{"level":"error","ts":1628675355.682873,"logger":"webhook","msg":"error executing query","hookType":"validation","error":"admission.k8s.gatekeeper.sh: eval_cancel_error: caller cancelled query execution\n","stacktrace":"github.com/go-logr/zapr.(*zapLogger).Error\n\t/go/src/github.com/open-policy-agent/gatekeeper/vendor/github.com/go-logr/zapr/zapr.go:132\ngithub.com/open-policy-agent/gatekeeper/pkg/webhook.(*validationHandler).Handle\n\t/go/src/github.com/open-policy-agent/gatekeeper/pkg/webhook/policy.go:178\nsigs.k8s.io/controller-runtime/pkg/webhook/admission.(*Webhook).Handle\n\t/go/src/github.com/open-policy-agent/gatekeeper/vendor/sigs.k8s.io/controller-runtime/pkg/webhook/admission/webhook.go:140\nsigs.k8s.io/controller-runtime/pkg/webhook/admission.(*Webhook).ServeHTTP\n\t/go/src/github.com/open-policy-agent/gatekeeper/vendor/sigs.k8s.io/controller-runtime/pkg/webhook/admission/http.go:100\ngithub.com/prometheus/client_golang/prometheus/promhttp.InstrumentHandlerInFlight.func1\n\t/go/src/github.com/open-policy-agent/gatekeeper/vendor/github.com/prometheus/client_golang/prometheus/promhttp/instrument_server.go:40\nnet/http.HandlerFunc.ServeHTTP\n\t/usr/local/go/src/net/http/server.go:2049\ngithub.com/prometheus/client_golang/prometheus/promhttp.InstrumentHandlerCounter.func1\n\t/go/src/github.com/open-policy-agent/gatekeeper/vendor/github.com/prometheus/client_golang/prometheus/promhttp/instrument_server.go:100\nnet/http.HandlerFunc.ServeHTTP\n\t/usr/local/go/src/net/http/server.go:2049\ngithub.com/prometheus/client_golang/prometheus/promhttp.InstrumentHandlerDuration.func2\n\t/go/src/github.com/open-policy-agent/gatekeeper/vendor/github.com/prometheus/client_golang/prometheus/promhttp/instrument_server.go:76\nnet/http.HandlerFunc.ServeHTTP\n\t/usr/local/go/src/net/http/server.go:2049\nnet/http.(*ServeMux).ServeHTTP\n\t/usr/local/go/src/net/http/server.go:2428\nnet/http.serverHandler.ServeHTTP\n\t/usr/local/go/src/net/http/server.go:2867\nnet/http.(*conn).serve\n\t/usr/local/go/src/net/http/server.go:1932"}

#devops #kubernetes #programming #russian

0

11.08.2021

2 ответов

18 просмотров

Dmitry Sergeev 🇺🇦

не понял. open policy это же по сути хуки. Поды open policy агента куда эти хуки отправляются начинают жрать 1Gi+? Это может повлиять на kube-apiserver если эти поды open policy агента не отвечают или падают. Но это максимум будет ошибка тому кто применяет манифесты в kube-apiserver. И что значит сносит крышу? Ну он ошибки будет отдавать да, но это нормально в таком случае

0

11.08.2021

George Gaál · Accepted Answer

George Gaál

ничего не понял, но похоже, что OPA сдохла в моменте -> раз так, то вебхук не работает

0

11.08.2021

172 похожих чатов

@LuckySB open policy agent умеешь готовить? Версия 3.5.2. Есть правила

2 ответов

Похожие вопросы