А в abac'e так тоже нельзя

Он не настолько гранулированный

согласно статье - можно, типа там атрибуты проверяются в момент запроса и они могут быть любыми, я прочитал только что и впечатлился

если такого нельзя - надо такое сделать :)

из статьи картинка:

https://habrastorage.org/files/c0c/5f1/bf2/c0c5f1bf268e42e99048fcc7d4e2da17.png

Аааа, ты вот про что

Так статья-то - это же про abac/rbac в вакууме

Они суть есть паттерны же

Ну там как REST

@pipopolam я за то чтобы реализовать ABAC и опубликовать доку по результатам (как делал, впечатления по использованию) - жутко интересно

ну вот возратились к началу... короче я вот за это все что мы только что обсудили :)

А вот конкретная реализация в кубернетесе - это совсем другой коленкор

@vkfont сюда читай: http://kubernetes.io/docs/admin/authorization/

Тут есть и rbac и abac

В рамках кубернтеса

И оно совсем не похоже на ту статью ;)

вижу, понял

@asigatchov там в конце табличка про сравнение выглядит несколько странно судя по кубернетесодокам (я понимаю, что там не про кубернетес), плюсики и минусики надо поменять местами

ну тогда "--authorization-mode=Webhook" + сервер, походу идея для сервиса :)

Там кстати и для аутентификации есть вебхуки

http://kubernetes.io/docs/admin/authentication/#webhook-token-authentication

Но я пока не совсем понял суть реализации

oauth, bearer = запрашиваем внешний сервер и получаем токен, а потом даем доступ к ресурсу всем кто такой токен предоставляет без вопросов

А из-за чего такое может быть? # kubectl logs my-app-web-1237290625-syas4 ... Aug 24 18:59:03 my-app-web[24] ERROR: [api/images router] images-search error: { [FetchError: request to https://api.shutterstock.com/v2/images/search?page=1&per_page=40&query=nike failed, reason: getaddrinfo ENOTFOUND api.shutterstock.com api.shutterstock.com:443] name: 'FetchError', message: 'request to https://api.shutterstock.com/v2/images/search?page=1&per_page=40&query=nike failed, reason: getaddrinfo ENOTFOUND api.shutterstock.com api.shutterstock.com:443', type: 'system', errno: 'ENOTFOUND', code: 'ENOTFOUND' }

Dns сломался

node.js?

Добро пожаловать в клуб

`kubectl exec -it <pod> -- ping ya.ru`

в kube

А как починить??

Ну ты выполни ту команду, что я привел

И покажи вывод

Так она весит)

DNS слетел же)

ping: unknown host

в kube

:)

Ага

Оно

Ну позырь в днсовы логи

а чем / как?

Эээ

Ну как обычно

`kubectl logs --namespace=kube-system -c kubedns <dns-pod-here>`

kibana-logging-v1-dm716 0/1 Error 301 13d kube-dns-v18-wz37g 2/3 CrashLoopBackOff 490 13d kubernetes-dashboard-1775839595-h2ay1 0/1 CrashLoopBackOff 321 13d

упс

в "клубе" уютно :)

2/3 какбэ намекает

Один из контейнеров упал

согласен

сделал заново apply: # kubectl apply —namespace=kube-system -f skydns.yml service "kube-dns" configured replicationcontroller "kube-dns-v18" configured

но ничего

а нет

2/3 Running

но пинг не заработал

а вот опять: kube-dns-v18-wz37g 2/3 CrashLoopBackOff 492 13d

а как лог посмотреть?

kube describe rc или kube describe svc не работает

фак

опять namespace забыл указать

а объясните мне про pod'ы, плиз

?

как идёт масштабирование если вдруг нужно будет?

допустим, под из 3 сервисов

в рамках подов - никак

я могу только 1 из них масштабировать?

ReplicaSet

под из трех сервисов - это яичница из трех бананов

ERROR: S client not available

Kubernetes не использую, но хочется теорию понять

под может быть только из трех контейнеров

а уж один это сервис, или десять - от контейнеров зависит

да, контейнеров, ну, 1 контейнер - СУБД, второй - код, третий - статика

и, допустим, мне надо больше контейнеров с кодом

я смогу так сделать?

нет

под неделим

делай три пода

то есть даже если мне не нужно дублировать субд, допустим, мне всё равно придётся

ну да

или не делать её частью пода

потому что ты неправильно под сформировал

а как правильно?

под - неделимая сущность

но тогда каждый контейнер - отдельный под?

масштабироваться, создаваться, удаляться он будет весь целиком

всегда

тогда чем поды отличаются от контейнеров

Service Discovery

чем апельсины отличаются от ящиков с апельсинами?

вот именно так же поды от контейнеров отличаются

то есть под - это группа одинаковых контейнеров?

не обязательно одинаковых

но все действия ты будешь проводить только над полной группой

исключение - чтение логов

там нужно будет указывать контейнер внутри пода

а можно пример, когда выгоднее объединять в под пачку неодинаковых контейнеров, чем просто пачка этих контейнеров как отдельных подов?

kube-dns

три контейнера в одном поде

масштабировать можно как угодно

все контейнеры в поде объединены общим локалхостом