A autorização dos módulos de armazenamento de contêineres não valida o certificado quando "skipCertificateValidation" é falso
Summary: Quando "skipCertificateValidation" é falso para autorização de módulos de armazenamento de contêiner no recurso personalizado do driver, o proxy sidecar de autorização (contêiner karavi-authorization-proxy) não valida o certificado. ...
Symptoms
O usuário não consegue validar o certificado do servidor proxy de autorização mesmo quando "skipCertificateValidation" for false na seção authorization do recurso personalizado (CR) do driver instalado pelo operador dos módulos de armazenamento de contêineres.
Não há registros de erros.
Com isso definido no CR do driver:
- name: "SKIP_CERTIFICATE_VALIDATION" value: "false"
A configuração resultante no proxy sidecar de autorização é:
- name: INSECURE value: "true"
Deve ser falso.
Cause
O operador do Container Storage Modules não define corretamente o "skipCertificateValidation" variável de ambiente no karavi-authorization-proxy quando a autorização está habilitada no recurso personalizado do driver.
Resolution
Solução temporária:
Depois que o recurso do cliente do driver for implementado com a autorização habilitada, edite a implementação do driver e o conjunto de daemon para atualizar a variável de ambiente INSECURE para o karavi-authorization-proxy recipiente de true para false.
Kubectl -n <driver-namespace> edit deploy/<driver>-controller Kubectl –n <driver-namespace> edit ds/<driver>-node
Acesse o karavi-authorization-proxy e altere a variável de ambiente INSECURE de false para true.
Resolução
A engenharia forneceu um patch para o driver da interface de armazenamento de contêineres (CSI) da Dell para o operador 2.9.1 dos módulos de armazenamento de contêineres, em que o fluxo de validação do certificado skip é os endereços.