authentication

http://kubernetes.io/docs/admin/authentication/#static-token-file

это то, о чём мы вера говорили и что можно выпиливать с случае использования tls-ключей?

скорее наоборот

я вот ключи выпиливаю в пользу токенов ;)

чудовищный минус ключей в таком сетапе как у нас состоит в том, что ты не имеешь права их потерять

ну потому что отозвать-то их никак

без полной замены CA

да чё это

можно же заново сгенерить

и что?

старые-то будут валидны

а, ты про утечку

я тебя напоил и переписал твои ключи

))

я не пью

и теперь ты со своего кластера меня никак не выгонишь

почти

но суть понял

пока не перегенеришь весь CA

я не пью

ну методом терморектального криптоанализа получу ключи, без разницы в контексте разговора

а вот с токенами уже попроще

потерял токен - ну и хрен с ним

новый токен в файл записал, аписервер перезапустил, едешь дальше

вот эти перезапуски на каждый чих конечно накаляют

но токены же в открытом виде передаются?

но писать это в етцд они почему-то не хотят

в каком смысле "в открытом"?

у тебя ж апи только овер-хттпс доступно

но пока можно отключать?

кого?

- mountPath: /etc/kubernetes/tokens name: kube-tokens readOnly: false

вот этот фрагмент)

ааа, вот ты его где нашел

да оставь

я доделаю через пару дней

вывалю на тебя еще нового знания

))

;)

мне тут актуально стало

раньше доступ к кубернетесу был только внутри команды

а теперь пришлось паре внешников дать

и я срочно озадачен возможностью забрать у них доступ по свистку

так что скоро доделаю

о кстати

да

это реальный use case

Кубер конечно крут в своих способах авторизации

нет

даже OpenID есть

опенайди - это очень круто, да

а вебхук - еще круче

написать хуямбу для вебхуков и закрыть этим первые две "А" - это моя влажная мечта на сегодня

))

какие две А?

весь ACL (Access Control Layer)?

но мне столько времени не дают, и все против дополнительных компонентов на серверах (сервис-то надо саппортить, сетапить, мониторить, хуемое)

какие две А?

AAA - Authentication, Authorization, Accounting

вот первые две "а" можно было бы одним сервисом заткнуть

это да

странно, что ещё в kube-dashboard это не прикручено

или каким-то похожим сервисом

а при чем тут дашборд? о_О

какой-нибудь админ UI для ключей, токенов и пр

у кубернетеса все хорошо с космическими технологиями (ну потому что это модно, молодежно, интересно, etc), но очень херово с приземленными

вот например первые две А решаются файловым способом: - CSV с токенами - JSONL с правами доступа

ERROR: S client not available

но любое изменение этих файлов требует рестарта аписервера

просто чтоб он их перечитал

ну не гавнюки?..

вот чо, сложно было fs_notify добавить?

ну или просто раз в минуту там, допустим, перечитывать их

небля, зачем

проблемы индейцев вождя doesn't matter

все пошли крутить PetSet'ы

)))

тоже вариант да, или специальный check URI

gcr.io/google-containers/kube-addon-manager-amd64:v5.1 это сейчас самый актуальный?

так а в гугле-то забанили чтоли? ;)

https://github.com/kubernetes/kubernetes/blob/master/cluster/addons/addon-manager/Makefile#L18

говорят, да

меня гугл сюда уводил) https://github.com/kubernetes/kubernetes/tree/ec5678847e54a5037d0c7e8de552e14163e57b33/cluster/addons/addon-manager

там тоже 5.1

https://github.com/kubernetes/kubernetes/blob/ec5678847e54a5037d0c7e8de552e14163e57b33/cluster/addons/addon-manager/Makefile#L18

:D

)))

http://ramitsurana.github.io/awesome-kubernetes/

ага, я уже видел

- name: KUBECTL value: '/usr/local/bin/kubectl --certificate-authority=/etc/kubernetes/ssl/ca.pem --client-key=/etc/kubernetes/ssl/apiserver-key.pem --client-certificate=/etc/kubernetes/ssl/apiserver.pem --cluster=bots -s https://10.83.8.197:8443'

Интересно, а этот параметр можно разбить на несколько строк?

value: | /usr/local/bin/kubectl --certificate-authority=/etc/kubernetes/ssl/ca.pem ...

в таком духе

хрен знает

попробуй

ща какой нибудь онлайн сервис

ты вот опять все сразу хочешь

запусти сначала один кьюблет с етцд и апишечкой

и протыкай курлом/kubectl

если ключи нагенерил верно и все взвелось, то добавляй остальные компоненты