<div dir="ltr"><div>It would appear that this is due to podman logs getting large. I've got one now that is about 7G and growing. I see <a href="https://opendev.org/openstack/magnum/commit/9d543960d2827ede5be4f851b1cb62c986981f32">https://opendev.org/openstack/magnum/commit/9d543960d2827ede5be4f851b1cb62c986981f32</a> was included a few years ago that should limit to 50M, perhaps this is not working as expected in more recent times? Or are there any settings that this needs to limit logs that I might not have set?</div><div><br></div><div>Thank you!<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 6, 2023 at 3:11 PM Vivian Rook <<a href="mailto:vrook@wikimedia.org">vrook@wikimedia.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>After 31 days I lose kubectl access to magnum clusters. This has happened consistently for any cluster that I have deployed. The clusters run just fine, though around 31 days of operation kubectl cannot connect, and the web service shows the service as down (Though the web service on the cluster is responding enough to say that nothing is working, so the cluster has not completely crashed)</div><div><p>All kubectl commands have a long pause (about 10 minutes) then gives errors like:</p><p>Error from server (Timeout): the server was unable to return a response in the time allotted, but may still be processing the request (get deployments.apps)<br>Unable to connect to the server: stream error: stream ID 11; INTERNAL_ERROR; received from peer</p><p>I have a little more information in<br><a href="https://phabricator.wikimedia.org/T336586" target="_blank">https://phabricator.wikimedia.org/T336586</a></p></div><div><div>It feels like a cert is expiring as it always seems to happen right about 31 days after deployment. Does magnum have some kind of certificate like that? I checked the kubectl certs, they were set to be fine for years, so I don't think it is them unless I didn't check them correctly (Let's not discount that possibility, I totally could have read the wrong bit of the cert).</div><div><br></div><div>I can still generate a new kubectl config file with</div><div>openstack coe cluster config <cluster></div><div><br></div><div>Though the resulting configuration will have the same issue as the original config (long pause, then timeout errors). I have also tried to run:</div><div>openstack coe ca rotate <cluster></div><div><br></div><div>Which is accepted and seems to run fine, but after that point if I regenerate a kubeconfig file as above I get new errors when running kubectl:</div><div>Unable to connect to the server: x509: certificate signed by unknown authority (possibly because of "crypto/rsa: verification error" while trying to verify candidate authority certificate "<cluster>")</div><div><br></div><div>If the key rotation would work, and I'm not doing it correctly, I would be delighted to hear how to run it correctly. Though ideally I would like to find where the original key is failing, and if it is an expiration, how to set it to a longer time.<br></div><div><br></div><div>Thank you!<br></div><div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><table style="font-size:14px;color:rgb(32,33,34);font-family:sans-serif;border:medium none"><tbody><tr><td style="padding:5pt"><img alt="" src="https://upload.wikimedia.org/wikipedia/commons/thumb/8/8b/Wikimedia-logo_black.svg/54px-Wikimedia-logo_black.svg.png" style="border: 0px none; vertical-align: middle;"></td><td style="font-family:Arial,sans-serif;vertical-align:top;padding:5pt;line-height:1.38"><span style="font-size:12px"><b>Vivian Rook (They/Them)<br></b></span><div style="font-family:sans-serif">Site Reliability Engineer</div><div style="font-family:sans-serif"><a href="https://wikimediafoundation.org/" title="foundationsite:" style="font-family:Arial,sans-serif;background:none;color:rgb(102,51,102);font-size:9pt" target="_blank"><span style="color:rgb(0,0,0);font-size:8pt">Wikimedia Foundation</span></a></div></td></tr></tbody></table></div></div></div></div></div>
</blockquote></div><br clear="all"><br><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><table style="font-size:14px;color:rgb(32,33,34);font-family:sans-serif;border:medium none"><tbody><tr><td style="padding:5pt"><img alt="" src="https://upload.wikimedia.org/wikipedia/commons/thumb/8/8b/Wikimedia-logo_black.svg/54px-Wikimedia-logo_black.svg.png" style="border: 0px none; vertical-align: middle;"></td><td style="font-family:Arial,sans-serif;vertical-align:top;padding:5pt;line-height:1.38"><span style="font-size:12px"><b>Vivian Rook (They/Them)<br></b></span><div style="font-family:sans-serif">Site Reliability Engineer</div><div style="font-family:sans-serif"><a href="https://wikimediafoundation.org/" title="foundationsite:" style="font-family:Arial,sans-serif;background:none;color:rgb(102,51,102);font-size:9pt" target="_blank"><span style="color:rgb(0,0,0);font-size:8pt">Wikimedia Foundation</span></a></div></td></tr></tbody></table></div></div>