Maxim
https://github.com/kubernetes/kubernetes/issues/18174
Maxim
обе две все еще open
Maxim
вот когда вторую закроют, можно будет несколько апи-серверс
Maxim
а когда закроют первую, то можно будет даже kubectl с несколькими серверами сразу
Denis
ждём с нетерпением)
Denis
а то fail-over страдает в концепции
Anonymous
вот когда вторую закроют, можно будет несколько апи-серверс
Я немного не в теме, но разве нельзя поставить локальную хапроксю и уже сейчас иметь фэйловер и ХА?
Maxim
можно
Maxim
но "вне кластера"
Maxim
другие кнопки надо жмакать ;)
Denis
не православно, короче)
Anonymous
Пф)
Anonymous
Вот я понимаю задачу постгрю ХА сделать, а тут...
Denis
А там какие-то проблемы?
Maxim
@i_cant_use_4_symbol_nick пагади ты, тут пока еще шашечки
Maxim
ехать потом
Maxim
:D
Anonymous
=D
Denis
Максим, а что за /etc/kubernetes/tokens? :) https://gist.github.com/Bregor/6a8cf10f610922b5898dcffef957ff26#file-apiserver-yaml-L48
Maxim
authentication
Maxim
http://kubernetes.io/docs/admin/authentication/#static-token-file
Denis
это то, о чём мы вера говорили и что можно выпиливать с случае использования tls-ключей?
Maxim
скорее наоборот
Maxim
я вот ключи выпиливаю в пользу токенов ;)
Maxim
чудовищный минус ключей в таком сетапе как у нас состоит в том, что ты не имеешь права их потерять
Maxim
ну потому что отозвать-то их никак
Maxim
без полной замены CA
Denis
да чё это
Denis
можно же заново сгенерить
Maxim
и что?
Maxim
старые-то будут валидны
Denis
а, ты про утечку
Maxim
я тебя напоил и переписал твои ключи
Denis
))
Denis
я не пью
Maxim
и теперь ты со своего кластера меня никак не выгонишь
Denis
почти
Denis
но суть понял
Maxim
пока не перегенеришь весь CA
Maxim
я не пью
ну методом терморектального криптоанализа получу ключи, без разницы в контексте разговора
Maxim
а вот с токенами уже попроще
Maxim
потерял токен - ну и хрен с ним
Maxim
новый токен в файл записал, аписервер перезапустил, едешь дальше
Maxim
вот эти перезапуски на каждый чих конечно накаляют
Denis
но токены же в открытом виде передаются?
Maxim
но писать это в етцд они почему-то не хотят
Maxim
в каком смысле "в открытом"?
Maxim
у тебя ж апи только овер-хттпс доступно
Denis
но пока можно отключать?
Maxim
кого?
Denis
- mountPath: /etc/kubernetes/tokens
name: kube-tokens
readOnly: false
Denis
вот этот фрагмент)
Maxim
ааа, вот ты его где нашел
Maxim
да оставь
Maxim
я доделаю через пару дней
Maxim
вывалю на тебя еще нового знания
Denis
))
Maxim
;)
Maxim
мне тут актуально стало
Maxim
раньше доступ к кубернетесу был только внутри команды
Maxim
а теперь пришлось паре внешников дать
Maxim
и я срочно озадачен возможностью забрать у них доступ по свистку
Maxim
так что скоро доделаю
Denis
о кстати
Denis
да
Denis
это реальный use case
Denis
Кубер конечно крут в своих способах авторизации
Maxim
нет
Denis
даже OpenID есть
Maxim
опенайди - это очень круто, да
Maxim
а вебхук - еще круче
Maxim
написать хуямбу для вебхуков и закрыть этим первые две "А" - это моя влажная мечта на сегодня
Denis
))
Denis
какие две А?
Denis
весь ACL (Access Control Layer)?
Maxim
но мне столько времени не дают, и все против дополнительных компонентов на серверах (сервис-то надо саппортить, сетапить, мониторить, хуемое)
Maxim
вот первые две "а" можно было бы одним сервисом заткнуть
Denis
это да
Denis
странно, что ещё в kube-dashboard это не прикручено