Loading...

XML

Word

Printable

Type: Bug
Resolution: Duplicate
Priority: Undefined
Fix Version/s: None
Affects Version/s: 4.22
Component/s: Networking / ovn-kubernetes
Labels:
- component-regression

Activity Type:
None
Blocked:
False
Blocked Reason:

Hide

None

Show
None
Story Points:
None
Severity:
None
Regression:
Yes

Target Backport Versions:
None
Target Version:
None
Release Blocker:
None
Sprint:
None

SFDC Cases Counter:
SFDC Cases Open:
SFDC Cases Links:

Release Note Status:
None
Release Note Type:
None
Release Note Text:
None

Escape Reason:
None
Escape Impact:
None
Corrective Measures:
None
SDLC stage when should've been found:
None

(Feel free to update this bug's summary to be more specific.)
Component Readiness has found a potential regression in the following test:

install should succeed: overall

Significant regression detected.
Fishers Exact probability of a regression: 100.00%.
Test pass rate dropped from 100.00% to 92.86%.

Sample (being evaluated) Release: 4.22
Start Time: 2026-01-19T00:00:00Z
End Time: 2026-01-26T08:00:00Z
Success Rate: 92.86%
Successes: 65
Failures: 5
Flakes: 0
Base (historical) Release: 4.21
Start Time: 2025-12-27T00:00:00Z
End Time: 2026-01-26T08:00:00Z
Success Rate: 100.00%
Successes: 270
Failures: 0
Flakes: 0

View the test details report for additional context.

https://prow.ci.openshift.org/view/gs/test-platform-results/logs/periodic-ci-openshift-release-master-nightly-4.22-e2e-aws-ovn-serial-ipsec/2015560776516898816

  Root Cause                                                                                                                                                                                  
                                                                                                                                                                                              
  The ovn-ipsec-host DaemonSet failed to start on all 6 nodes. All pods are stuck in init container failure with this error:                                                                  
                                                                                                                                                                                              
  Error adding request extensions defined via -addext                                                                                                                                         
  duplicate attribute                                                                                                                                                                         
                                                                                                                                                                                              
  The ovn-keys init container is trying to generate IPsec certificates using an OpenSSL command that has conflicting flags:                                                                   
                                                                                                                                                                                              
  openssl req -new -text -extensions v3_req \                                                                                                                                                 
    -addext 'subjectAltName = DNS:...' \                                                                                                                                                      
    -subj /C=US/O=ovnkubernetes/OU=kind/CN=... \                                                                                                                                              
    -key /etc/openvswitch/keys/ipsec-privkey.pem \                                                                                                                                            
    -out /etc/openvswitch/keys/ipsec-req.pem                                                                                                                                                  
                                                                                                                                                                                              
  The command uses both -extensions v3_req and -addext which causes a duplicate attribute error in the OpenSSL version being used.

https://gcsweb-ci.apps.ci.l2s4.p1.openshiftapps.com/gcs/test-platform-results/logs/periodic-ci-openshift-release-master-nightly-4.22-e2e-aws-ovn-serial-ipsec/2015560776516898816/artifacts/e2e-aws-ovn-serial-ipsec/gather-extra/artifacts/pods/openshift-ovn-kubernetes_ovn-ipsec-host-427k7_ovn-keys.log

Filed by: jialiu@redhat.com

duplicates

OCPBUGS-74401 ovn-ipsec-host creates duplicate openssl attribute

ON_QA

Assignee:: Ben Bennett

Reporter:: OpenShift Technical Release Team

Need Info From:: None

Contributors:: None

QA Contact:: None

Doc Contact:: None

Votes:: 0 Vote for this issue

Watchers:: 1 Start watching this issue

Created:: 2026/01/26 9:13 AM

Updated:: 2026/01/26 9:29 AM

Resolved:: 2026/01/26 9:29 AM

Details

Description

Attachments

Issue Links

Easy Agile Planning Poker

Activity

People

Dates