<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi!<div class="">I’d like to initiate a discussion about this bug: [1].</div><div class="">To resolve this issue we need to generate a secret cert and pass it to master nodes. We also need to store it somewhere to support scaling.</div><div class="">This issue is specific for kubernetes drivers. Currently in magnum we have a general cert manager which is the same for all the drivers.</div><div class=""><br class=""></div><div class="">What do you think about moving cert_manager logic into a driver-specific area?</div><div class="">Having this common cert_manager logic forces us to generate client cert with “admin” and “system:masters” subject & organisation names [2], </div><div class="">which is really something that we need only for kubernetes drivers.</div><div class=""><br class=""></div><div class="">[1] <a href="https://bugs.launchpad.net/magnum/+bug/1766546" class="">https://bugs.launchpad.net/magnum/+bug/1766546</a></div><div class="">[2] <a href="https://github.com/openstack/magnum/blob/2329cb7fb4d197e49d6c07d37b2f7ec14a11c880/magnum/conductor/handlers/common/cert_manager.py#L59-L64" class="">https://github.com/openstack/magnum/blob/2329cb7fb4d197e49d6c07d37b2f7ec14a11c880/magnum/conductor/handlers/common/cert_manager.py#L59-L64</a></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><div class="">
<div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;">..Sergey Filatov</div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; text-decoration: none;" class=""><br class=""></div><br class="Apple-interchange-newline">
</div>
<div><br class=""><blockquote type="cite" class=""><div class="">On 20 Apr 2018, at 20:57, Sergey Filatov <<a href="mailto:s.s.filatov94@gmail.com" class="">s.s.filatov94@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">Hello,<br class=""><br class="">I looked into k8s drivers for magnum I see that each api-server on master node generates it’s own service-account-key-file. This causes issues with service-accounts authenticating on api-server. (In case api-server endpoint moves).<br class="">As far as I understand we should have either all api-server keys synced on api-servesr or pre-generate single api-server key.<br class=""><br class="">What is the way for magnum to get over this issue?</div></div></blockquote></div><br class=""></div></body></html>