как победить это, может кто сталкивался?

Ребят, как создать нового юзера что-бы потом юзать его для set image деплоймента на CI? Пытаюсь сделать ClusterRole + ServiceAccount + ClusterRoleBInding с правами на деплойменты, но всеравно юзер не имеет прав.

Ребят, как создать нового юзера что-бы потом юзать его для set image деплоймента на CI? Пытаюсь сделать ClusterRole + ServiceAccount + ClusterRoleBInding с правами на деплойменты, но всеравно юзер не имеет прав.

Что такое set image?

Обновление образа для деплоймента через kubectl deployment/example set image

Ребят, как создать нового юзера что-бы потом юзать его для set image деплоймента на CI? Пытаюсь сделать ClusterRole + ServiceAccount + ClusterRoleBInding с правами на деплойменты, но всеравно юзер не имеет прав.

Если достаточно деплоить только в один namespace, то достаточно Role и RoleBinding https://gist.github.com/ivaravko/b2739203f1201c450b5c96ae398d21e3 рабочий пример

Чет не могу найти доку, мож кто подскажет, тока вливаюсь в кубернетес... вот поставил кубернетес, поставил в нем дашборд, и возникли вопросы как сделать чтоб дашборд работал не только через kubectl proxy выкинуть наружу и еще когда логинюсь через токен, вроде не хватает прав?

Если достаточно деплоить только в один namespace, то достаточно Role и RoleBinding https://gist.github.com/ivaravko/b2739203f1201c450b5c96ae398d21e3 рабочий пример

пример для rbac версии v1 с k8s 1.8, а если куб меньше то там v1beta2 или типо того

не, я понимаю что ingress нада настраивать, но не понял еще как

извиняюсь за нубские вопросы если тут такие не приняты, просто токо поднял, и не понятно куда дальше запрягать... мож кто подскажет?

извиняюсь за нубские вопросы если тут такие не приняты, просто токо поднял, и не понятно куда дальше запрягать... мож кто подскажет?

в дашборд по админ аккаунту пускает?

по токену

по токену

ну, токен привязан к акку

в чем трабла

по этой инструкции токен достал https://github.com/kubernetes/dashboard/wiki/Access-control

прав нет я чтото делаю не так? не оттуда токен достал? делал так kubectl -n kube-system get secret kubectl -n kube-system describe secret replicaset-controller-token-kzpmc ввел на входе мож юзверя завести? или что нада делать? просто ругается что я анонимный пользователь... User "system:anonymous" и где потом тогда токен брать?

в дашборд по админ аккаунту пускает?

а это как по админ акаунту? где раздобыть?

а это как по админ акаунту? где раздобыть?

по вашему доку сверху

kubectl auth can-i get pods -n=search --as=ci-robot no apiVersion: v1 kind: ServiceAccount metadata: name: ci-robot namespace: search а как применять --as для ServiceAccount?

хотя вот тут https://docs.giantswarm.io/guides/securing-with-rbac-and-psp/ есть пример $ kubectl auth can-i use podsecuritypolicies/privileged \ -n kube-system \ --as=system:serviceaccount:kube-system:calico-node yes

--as=serviceaccount:search:ci-robot не сработало

по вашему доку сверху

ваще не могу найти

ваще не могу найти

https://github.com/kubernetes/dashboard/wiki/Creating-sample-user а если повнимательней

таж беда что на скрине

куча желты сообщений что я аноним или типо того

А залогиниться пробовал?

да

токеном этим

сек

перезайдите, бред какой то, если акканту сервисный, почему у вас крин анонимуса показывает

вы точно токены не путаете

а нет, перезашел мож в сесси отсталось.. ща показывает что я админ, но всеровно все желтое

kubectl get pods —all-namespaces

покажите содержание ямлика на создание юзера

посмотри роли и clusterrolebindings

apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system

рили?

рили?

че не так?

* rolebindings * roles вот это нужно настроить

твой админ не имеет прав

я доку зачем по вашему скидывал? чтобы вы не читая скопипастили первое что увидите?

есть пример?

может вам пока рано в k8s?

может, но надо добить, и разобраться, с вашей помощью или без, проосто надеялся найти помощи

Кто нибудь ознакомился с https://www.redhat.com/en/blog/introducing-operator-framework-building-apps-kubernetes ? Какие нибудь pro contra?

доку вам скинули, в чем проблема? вы по документу не видите что надо сделать?

Кстати выявил что бывает что через kops не поднимается мастер толи из-за ebs толи под конкретным типом instance. C4.lagre работает а под c5.large нет. Может я про них что-то не знаю конечно)

Кстати выявил что бывает что через kops не поднимается мастер толи из-за ebs толи под конкретным типом instance. C4.lagre работает а под c5.large нет. Может я про них что-то не знаю конечно)

когда то он у меня заработал из коробки. правда я потом специально использовал https://github.com/rebuy-de/aws-nuke что бы вычистить его артифакты из aws аккаунта надо признать что они (авторы kops) довольно хорошие aws инженеры

Кто нибудь ознакомился с https://www.redhat.com/en/blog/introducing-operator-framework-building-apps-kubernetes ? Какие нибудь pro contra?

Тут несколько раз обсуждалось и в бложике кореоси было (по ссылке не ходил)

когда то он у меня заработал из коробки. правда я потом специально использовал https://github.com/rebuy-de/aws-nuke что бы вычистить его артифакты из aws аккаунта надо признать что они (авторы kops) довольно хорошие aws инженеры

Оо спасибо. Посмотрю обязательно. Я пол дня потратил чтобы вычислить влияет ли какой то ключ на работу или связка ключей или тип инстанс. Явно где то баг но какой именно из списка я ловил так и не понял. Причем если поднять почти без ключей а потом через edit и update накатить те же параметры то работает.

Но так да. Все четко и быстро взлетает под aws. Даже чел выше справился бы )))

Кстати выявил что бывает что через kops не поднимается мастер толи из-за ebs толи под конкретным типом instance. C4.lagre работает а под c5.large нет. Может я про них что-то не знаю конечно)

может AMI не поддерживает nvme девайсы (драйверов нету)?

Вроде AMI не меняется от настроек развертывания. Но я это не проверял.

вообще c5 и m5 я бы пока не стал юзать в продакшене, я от них уже кучу проблем выгреб с декабря месяца

там и тайм дрифт, и с днс проблемы

и чего только нет

Глянул ща. Возможно ты прав.

Правда не стоит юзать 5 видимо. Спасибо. ?

на убунте 14.04 точно будут бока такие, в 16.04 вроде уже драйверы есть, по крайней мере в последних оф ами

Там coreOs вроде в базе в kops. Если я не путаю... Но да. Скорее всего из-за драйвера. Не подумал что-то про nvme...

в копс дебиан с кастомным ядром

с патчами от гугла, если у вас дефолтное ами

Буду знать. Уделю этой части внимание чтобы быть в курсе таких мелочей.

кто-то пробовал https://github.com/genuinetools/img ?

Попробуй и расскажи

блин ребята можете пояснить какой прикол в этих secrets в кубере, а то не получается понять от чего скрывается то

собственно пароли и т.п. нужно туда класть

ну и соответственно если девелоперам выдавать такие роли (про RBAC же не надо рассказывать?) с которыми они не могут смотреть секреты и не имеют доступа к шеллу контейнеров - доступ к паролям выходит ограничен

надеюсь понятно получилось

Чем от конфигмапы отличается? Они в RBAC не умеют?

Ребята, а кто-нибудь тут использует ansible-container?

Особо секурные. Можно сделать конфиг с ключиком, чтобы внутри etcd хранились в зашифрованном виде. И еще они хранятся только в памяти на воркерах, так что если злодей пролезет в датацентр и утащит воркер ноду, то секрет ему не узнать.

Я что-то заткнулся на странной задаче: у меня последняя роль из кэша берётся, а мне нужно, чтоб она всегда отрабатывала. Или правильнее no-cache заюзать, вот в чём вопрос?

Особо секурные. Можно сделать конфиг с ключиком, чтобы внутри etcd хранились в зашифрованном виде. И еще они хранятся только в памяти на воркерах, так что если злодей пролезет в датацентр и утащит воркер ноду, то секрет ему не узнать.

Спасибо

Особо секурные. Можно сделать конфиг с ключиком, чтобы внутри etcd хранились в зашифрованном виде. И еще они хранятся только в памяти на воркерах, так что если злодей пролезет в датацентр и утащит воркер ноду, то секрет ему не узнать.

как-то не очень правильно имхо называть base64 шифрованием

Эм... AES тоже не канает?

"Encrypting Secret Data at Rest", 1.7 и выше.

Товарисчи, подскажите как задать количество реплик, равное количесву нод с определенным лейбл?

Товарисчи, подскажите как задать количество реплик, равное количесву нод с определенным лейбл?

https://kubernetes.io/docs/concepts/workloads/controllers/daemonset/#running-pods-on-only-some-nodes

https://kubernetes.io/docs/concepts/workloads/controllers/daemonset/#running-pods-on-only-some-nodes

Упустил этот момент, спасибо

Еще вопрос, нод селектор можно использовать вместе с аыинити, антиаыинити?

Афинити*

хм, а зачем?

Всем привет! Кто нибуть создавал свои helm-репозитории в Gitlab?

хм, а зачем?

Интересно, что из них имеет приоритет, например противоречащие правила если писать

Интересно, что из них имеет приоритет, например противоречащие правила если писать

А я не знаю, но мне тоже интересно стало, расскажите, как выясните

Всем привет! Кто нибуть создавал свои helm-репозитории в Gitlab?

Используя pages? https://tobiasmaier.info/posts/2018/03/13/hosting-helm-repo-on-gitlab-pages.html

Используя pages? https://tobiasmaier.info/posts/2018/03/13/hosting-helm-repo-on-gitlab-pages.html

Да уже спасибо разобрался

Люди, когда ставишь helm через UI GitLab и он поставился успешно - появляется tiller под. Ок. А как теперь юзать его? Сам бинарник helm где? Локально скачивать и настраивать надо?

там куда раскатали

Немного не понял. Раскатал в отдельный namespace. Tiller под вижу