« Rev
@kubernetes_ru   221
Fwd »


Maksim
Ну учитывая что RBAC в namespace заработал только в 1.5
Maksim
)
kay
придется пилить clusterrole
Vitalii
Привет. У кого как работает аутентификация? CSV файлик совсем больно сейчас.
kay
rbac
kay
пилишь сертификаты, в них объявляешь группы через O=groupname subject
Vitalii
Это авторизация)
Vitalii
API server отзыв сертификатов не поддерживает, только перевыпуск intermediate Ca
kay
аутентификация работает в rbac по subject сертификата
kay
это да. всё никак не запилю этот гребаный crl
kay
может поможешь? )
Vitalii
Мне нужно коллег аутентифицировать, желательно через лдап...
kay
тогда openshift https://docs.openshift.com/enterprise/3.1/install_config/syncing_groups_with_ldap.html
Vitalii
Слаб я в golang:) Щас с горя пытался накатать прокси сервер с лдап аутентификацией, и сломался на вебсокетах
Vitalii
В чате 500+ человек. Я надеюсь есть люди не с openshift и gke)
Vitalii
dex
он из коробки работает? пользователь в веб-интерфейсе dex логинится через лдап и получает токен для kubectl? я пару месяцев назад пробовал и не осилил. Там нужен был отдельный севрер с example-app и т.д.
Vitalii
ещё хочется обычный http basic, чтобы в дашборд ходить
bebebe
хм, если ставить каргой k8s, то там это есть из коробки
bebebe
только не лдап, хотя вроде не так сложно его прикрутить
Vitalii
хм, если ставить каргой k8s, то там это есть из коробки
никакой дополнительной магии не вижу. Нужно указывать oidc опции https://github.com/kubernetes-incubator/kubespray/blob/15fee582cc9fea3e0a51604b0ccf4d4a4b71071a/inventory/group_vars/k8s-cluster.yml#L59
Vitalii
пойду перечитаю dex...
bebebe
ну как не надо, там из коробки PR висит что бы dashboard: true отрабатывал :) но в общем случае да
bebebe
кстати, тут есть люди которую каргу используют?
Olsen
ололо, а много здесь тех, кому сейчас скучно?
Anonymous
видимо, у человека кластер не собирается
Dmitry
Я тут три дня убил на очередные заигрывания с k8s и, честно говоря, не очень понимаю, почему люди его используют на bare metal/в public cloud
Dmitry
Гемороя с "собиранием" же немерено
G72K
в public cloud норм
Dmitry
Когда какой-нибудь swarm mode заводится с полпинка двумя командами у k8s сплошные приключения: kubeadm в альфе и не для прода, network-плагины полусырые и отданы на аутсорс
Dmitry
в public cloud норм
Где ж норм то, когда с шифрованием беда?
G72K
какая беда?
Dmitry
какая беда?
Его нет? Ну везде кроме weave
Dmitry
А наа weave пальцем лучше не показывать, его жор CPU и почти полное отсутствие документации радует
Konstantin
а причем тут k8s?
Dmitry
а причем тут k8s?
А кому нужен кластер без сети?)
Dmitry
Я сейчас не говорю про GCE/AWS, где есть VPC и все в шоколаде
G72K
ну AWS вполне себе public cloud :)
Dmitry
ну AWS вполне себе public cloud :)
AWS - полноценный клауд с внутренней приватной сеточкой, ELB и всеми делами
Dmitry
k8s там - просто рай на земле. Наверное.
Dmitry
А говоря public cloud я имею ввиду что-то вроде DigitalOcean.
Dmitry
Или, в условиях нашей великой страны, что-то еще более бюджетное
Dmitry
А вообще я не понимаю, как ж так вышло то, что на голой чистой убунте (с последним/1.12 докером) kubeadm + calico (по официальному мануалу http://docs.projectcalico.org/v2.3/getting-started/kubernetes/installation/hosted/kubeadm/) не взлетают
Olsen
https://blog.sonm.io/join-test-alpha-b4f999105fef мне интересно что будет если эту сырую пре-альфу чуток глючащего образа для докера дать тем у кого кластеры на кор-осе постоянно под рукой =)
Dmitry
И соответственно никакого connectivity нет в помине
Konstantin
DO под k8s лучшне не использовать
Dmitry
DO под k8s лучшне не использовать
Во как. Там убунта не такая убунтистая?
Konstantin
У нас были проблемы с сетью и артефакты вылазили не понятные. Используем для разворачивания kargo и сейчас переехали на свое железо
Olsen
Ну поднимите несколько дроплетов на DO да попробуйте
не-не, я-то попробовал, все ок. как говорится, "я просто оставлю это здесь" =)
Konstantin
k8s + flannel + ubuntu 16 + kargo
Dmitry
Лично у меня kargo ни разу нормально не отработал. Ни на конфигурации из трех нод, ни даже на одной
Konstantin
было пару issue, но они быстро прикрыли
Konstantin
Docker 1.13
Dmitry
было пару issue, но они быстро прикрыли
Вы карго из мастера используете или релиз (который похоже уже староват)?
Dmitry
И вообще мне кажется, что kargo творит слишком много магии для продакшена. И как troubleshoot'ить это потом при случае вообще не понятно
Dmitry
А запускать эту штуку на production-кластере под нагрузкой страшно втройне
Konstantin
Сейчас не скажу, но раньше точно использовали какой-то тэг
Konstantin
Там же ansible все читается
Dmitry
Читается. Но блин это хуже php
Dmitry
Ох, ладно. Моя боль так и останется моей. Просто я не понимаю, зачем нужно столько костылей. Буквально вчера поднимал кластер from scratch. Все шло идеально ровно до момента kube-dns и настройки сети
Dmitry
Когда документация вдруг резко закончилась
Konstantin
С докой беда, только гуглить и самому разбираться. Ну и может в доку, что-то законтребьютить)
Dmitry
Когда документация вдруг резко закончилась
"Setup instructions" ведет на https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/dns/
Dmitry
Казалось бы все очевидно: запихни переменные в шаблон, kubectl apply -f *.yml и готово
Dmitry
Но нет, не поднимается. Притом членораздельных ошибок тоже не вываливает
Dmitry
Ну и как с этим жить? А главное зачем?
Dmitry
А самое "прекрасное" то, что даже Rancher заводит k8s через раз
Dmitry
А в случае с разделением control plane и compute plane так вообще не заработало
Dmitry
И блин, это только самое начало. С разверткой k8s сталкиваются сотни человек как минимум. Где адекватные туториалы? Такое ощущение, что все живут либо в GCE/AWS, либо на bare metal с tectonic/еще чем-нибудь
Dmitry
И почему черт подери у команды докера получилось все свести до элементарных docker swarm init + docker swarm join? Почему у них нормально и быстро работает сетка и есть опциональный ipsec из коробки? Multimaster, raft, ingress все дела...
Dmitry
И такое ощущение, что ничего с тех пор не поменялось
« Rev
@kubernetes_ru   221
Fwd »