G72K

И уже у них разные права

Maksim

Вот и вопрос. Как куб запрещаеь пользователю А использовать деплой Б

G72K

? Не понимаю вопрос. У каждой группы разработчиков свой пользователь, все деплои для этой группы делаются от этого польщователя

Maksim

? Не понимаю вопрос. У каждой группы разработчиков свой пользователь, все деплои для этой группы делаются от этого польщователя

а если по ошибке первая группа изменит деплои второй группы?

Maksim

Нельзя исключать человеческий факт, все ошибаются

G72K

Как? У них нет прав

Anatoliy

Плозой подход как по мне( Лучше уж куча НСов

Maksim

Как? У них нет прав

Вот и я спрашиваю Как ты этого добился если деплои в одном NS?

Maksim

можно просто ямл роли копирнуть-)

G72K

Кто сказал что все деплои в одном ns? :))

Maksim

По мне так хорошая, но это чуток религиозный вопрос, так что выбирайте свою веру сами и не верьте попам :)

Я что-то не так понял?

Maksim

Или "Услышал звон, но не знал откуда он" -)

G72K

Я что-то не так понял?

Да :) там обсуждение было что одно приложение размазано по двум неймспейсам )

Maksim

Да :) там обсуждение было что одно приложение размазано по двум неймспейсам )

Ясно-) А вот по приложение в два неймспейчса это имхо, солиным столбом по пахивает-)

Anatoliy

в общем ребят, посмотрите пожалуйста что у меня не так( уже вообще мыслей нет(

Maksim

Ну..

Maksim

https ?

Maksim

Судя по ответу, он выдал не http а что-то другое

G72K

в общем ребят, посмотрите пожалуйста что у меня не так( уже вообще мыслей нет(

Идите по https

G72K

Справедливости ради можно и в одном ns разделить права, в ролях есть поле resourceName, но это маленький адок рулить на таком уровне

Anatoliy

Идите по https

Сайт 127.0.0.1 отправил некорректный ответ. Перезагрузить Подробнее

Anatoliy

Это если https

Anatoliy

Это я уже успел попробовать(

Maksim

Там кажись схема такая. Дашбоард работает на https а апи проксирует http

Maksim

дай деплой дашборад

Anonymous

а дайте ссылку на какой-нибудь сайдкар который будет перезапускать под когда изменится ресурс (конфигмап, секрет)? и вообще есть где список интересных сайдкаров? (заинтересовался темой расширения функционала сервиса за счет внешних докеров а не модификации кода)

Alex Sharov

Можешь, мы именно так и делаем. На каждый деплой свой пользователь

понял! Так и сделаю

CrusaderX

а дайте ссылку на какой-нибудь сайдкар который будет перезапускать под когда изменится ресурс (конфигмап, секрет)? и вообще есть где список интересных сайдкаров? (заинтересовался темой расширения функционала сервиса за счет внешних докеров а не модификации кода)

https://hub.docker.com/r/atombender/k8s-config-controller/

Anonymous

спасибо

Anton

а дайте ссылку на какой-нибудь сайдкар который будет перезапускать под когда изменится ресурс (конфигмап, секрет)? и вообще есть где список интересных сайдкаров? (заинтересовался темой расширения функционала сервиса за счет внешних докеров а не модификации кода)

https://github.com/kelseyhightower/konfd такое видел. есть подход в helm: в spec.template.metadata.annotations держать checksum конфигмапов. https://github.com/kubernetes/helm/blob/master/docs/charts_tips_and_tricks.md#automatically-roll-deployments-when-configmaps-or-secrets-change

Anton

helm обновит deployment при изменении чексуммы конфигов и соответвенно поедет апдейт

Anatoliy

дай деплой дашборад

https://pastebin.com/n4meSik3

Maksim

ну так и есть

Maksim

у тебя dashboard работает по http over ssl

Anatoliy

так я же ставил не сам. я с рекомандации кубера, и там все норм в прошлый раз было

Maksim

а аписервер проксирует http -)

Anatoliy

хм... что надо поменять то?

Maksim

да...

Maksim

лдибо выводить dashboard на nodeport

Maksim

либо уводить его на insecure коннект по http

Anatoliy

не, я хочу дашборду только через прокси либо через ингрес

Anatoliy

ингреса пока точно не будет

Anatoliy

значит прокси

Anatoliy

но kubectl proxy как раз в итоге можно выводить на http так?

Maksim

kubectl прокси использует proxy от apiserver

Anatoliy

но это безопасно через него делать по http?

Anatoliy

для меня дашборда это вообще штука чисто внутри для того что бы можно было посмотреть что там и как

Anatoliy

Просто вот эта штука тоже не заработала: https://github.com/smpio/kubernator#install-on-cluster-recommended

Igor

проблема там будет в другом, нужно чтобы аутентификация дашборды соотетствовала тому, что используется для аутентификации доступа к аписерверу

Anatoliy

так вроде же при создании кластера там все прописывается? Или где то там не верно?

Maksim

О а чую я что кубернатор прикольнее дефолтового дашбоарда

Anatoliy

То что прикольнее - не спорю, но где то у меня тут косяк ест ьи я не могу понять где и как его исправить(

Anton

есть дурацкий вопрос про persistent volumes. конкретно про Local Persistent Storage, но я думаю он общий. два сценария интересуют: 1) на машине с большим диском создал pv и согласно pvc, которая требует много пространства, под запустился на этой ноде. если нода вдруг выходит из строя, под повиснет в статусе unavalible \ pending пока не объявится pv с нужной capacity. и чтобы запустить на pv меньшего размера, нужно будет изменить pvc? чтобы это сделать автоматически, придется какой то sidecar подсаживать, который при детектинге такой ситуации изменит pvc?

Igor

Альтернативные UI работают через API, дашборда стандартная вряд ли удастся завести как-то ещё кроме как стандартным образом

Anatoliy

вроде если тебе надо мало - то если есть свободный вольюм у которого много места - он может подключиться

Anatoliy

Альтернативные UI работают через API, дашборда стандартная вряд ли удастся завести как-то ещё кроме как стандартным образом

так не работает ни стандартная борда, ни альтернативная, и я не понимаю почему если вторая работает через апи

Anton

ну вот я рассматриваю вариант когда мне нужно пипец как много пространства вообще, но если что - можно и с нуля и с маленьким вольюмом завестись

Igor

так не работает ни стандартная борда, ни альтернативная, и я не понимаю почему если вторая работает через апи

Сам API то работает? аутентификация там есть?