Die Autorisierung für Container-Storage-Module validiert das Zertifikat nicht, wenn "skipCertificateValidation" auf "false" festgelegt ist.
Summary: Wenn "skipCertificateValidation" für die Container-Storage-Modul-Autorisierung in der nutzerdefinierten Treiberressource auf "false" festgelegt ist, validiert der Autorisierungssidecar-Proxy (karavi-authorization-proxy-Container) das Zertifikat nicht. ...
Symptoms
Der Nutzer kann das Autorisierungs-Proxyserverzertifikat auch dann nicht validieren, wenn "skipCertificateValidation" "false" im Autorisierungsabschnitt der nutzerdefinierten Ressource (CR) des Treibers, die vom Container Storage Modules-Operator installiert wurde.
Es sind keine Fehlerprotokolle vorhanden.
Mit diesem Set im Treiber CR:
- name: "SKIP_CERTIFICATE_VALIDATION" value: "false"
Die resultierende Konfiguration im Autorisierungs-Sidecar-Proxy sieht wie folgt aus:
- name: INSECURE value: "true"
Er sollte falsch sein.
Cause
Der Container Storage Modules-Operator legt die "skipCertificateValidation" Umgebungsvariable in der karavi-authorization-proxy wenn die Autorisierung in der nutzerdefinierten Treiberressource aktiviert ist.
Resolution
Problemumgehung:
Nachdem die Treiberkundenressource mit aktivierter Autorisierung bereitgestellt wurde, bearbeiten Sie die Treiberbereitstellung und den Daemon-Satz, um die INSECURE Umgebungsvariable für zu aktualisieren karavi-authorization-proxy Container von true zu false.
Kubectl -n <driver-namespace> edit deploy/<driver>-controller Kubectl –n <driver-namespace> edit ds/<driver>-node
Rufen Sie das karavi-authorization-proxy -Container und ändern Sie die Umgebungsvariable INSECURE von false in true.
Auflösung
Die technische Abteilung hat einen Patch für Dell Container Storage Interface (CSI) Driver for Container Storage Modules Operator 2.9.1 bereitgestellt, in dem der Vorgang zum Überspringen der Zertifikatvalidierung adressiert wird.