Andor
23.10.2018
21:07:37
А, прямо плейнтекстом
Я подумал что это параметры для конфигмапы
kvaps
23.10.2018
21:09:27
параметры для конфигмапы можно передавать вот так:
"config": |||
ksonnet.is=%s
ksonnet.isalso=%s
||| % ["good", "interesting"],
Nik
23.10.2018
21:17:51
вообще ктонить руками крутил coredns вне кубов?
Google
kvaps
23.10.2018
21:22:48
@elvis_live а чего ты хочешь решить?
Nik
23.10.2018
21:24:36
В более простом мире - просто dns сервер, который у меня крутится кубе.
bind мне сильно не люб
нашел https://github.com/kubernetes-incubator/external-dns но пока не понял, то ли это что я хочу. пока читаю
kvaps
23.10.2018
21:26:06
а dnsmasq?
Vadim
23.10.2018
21:26:13
раньше dnsmasq укрощали, теперь из coredns'а dnsmasq хотят
Nik
23.10.2018
21:26:40
но есть мнение, что coredns лучше в дизайн ляжет
целевое - интегарция с сервисами
Дмитрий
23.10.2018
21:28:32
С CoreDNS можно метрики промом собирать из коробки, а файлы зон как у bind (надо помнить о SOA, в отличие от dnsmasq)
Nik
23.10.2018
21:30:34
When using external-dns with ingress objects it will automatically create DNS records based on host names specified in ingress objects that match the domain-filter argument in the external-dns deployment manifest. When those host names are removed or renamed the corresponding DNS records are also altered.
Красота, но почему отдельные интеграции на каждое облако, пока не понимаю.
Google
Дмитрий
23.10.2018
21:31:13
Если ты в публичных облаках - норм
Потому как облака не договорились об API ?
Nik
23.10.2018
21:32:49
А если я внтури своей инфры. И делегируют мне зону то ли из бинда, то ли из AD (вообще темный лес)
Let Eat
24.10.2018
05:37:31
Andor
24.10.2018
05:41:00
То ли дело бинд
Oh, wai~
Let Eat
24.10.2018
05:42:00
bind тяжело
Andor
24.10.2018
05:43:07
Так ли это? Давайте спросим мнение экспертов
Let Eat
24.10.2018
05:44:08
Ну когда bind можно законфигурировать просто командной строкой, тогда будет легче :)
Andor
24.10.2018
05:44:39
Ну ты же сам понимаешь что у бинда куча фич которых у того же днсмаск просто нету
Let Eat
24.10.2018
05:46:51
Ну кому они нужны, тот пусть и ставит :) в kube DNS от него надо было пробросить запросы наверх или во внутренний skydns ну и кешировать чуток
kvaps
24.10.2018
05:58:05
@rossmohax слушай, а как ты хранишь пароли?
Andor
24.10.2018
05:59:58
vault?
kvaps
24.10.2018
06:01:29
Погляжу, спс
Andor
24.10.2018
06:01:46
hashicorp vault i mean
в кубенях есть готовые адаптеры, но всегда можно свой инит-контейнер сделать
kvaps
24.10.2018
06:04:31
Просто хочется их как-нибудь декларативно в ksonnet описывать, а хранить пароли в git - это моветон
Google
Andor
24.10.2018
06:06:00
https://github.com/Boostport/kubernetes-vault
Let Eat
24.10.2018
06:15:50
kvaps
24.10.2018
06:15:54
В идеале научить бы ksonnet туда ходить, аля: получил пароль в переменную, сгенерил секрет
Let Eat
24.10.2018
06:16:38
kvaps
24.10.2018
06:17:06
Кстати отличная идея!
Andor
24.10.2018
06:17:12
Fike
24.10.2018
06:17:47
kvaps
24.10.2018
06:18:29
Емнип pass так умеет
Let Eat
24.10.2018
06:19:34
Fike
24.10.2018
06:20:27
Через gpg можно для разных лиц шифровать же
Допустим, у тебя пять админов с тремя уровнями доступа. Получается, что у самых ответственных (и ссамых загруженных) будет три разных ключа, при использовании коих они будут сильно материться.
Let Eat
24.10.2018
06:20:38
Andor
24.10.2018
06:20:44
Let Eat
24.10.2018
06:21:51
Так вопрос не откуда брать секреты в рантайме, а при деплое :)
В рантайме кубовые secrets вполне годятся (хотя может какой-нибудь серьезный аудит и не пройдут)
Andor
24.10.2018
06:22:43
https://github.com/Boostport/kubernetes-vault
Let Eat
24.10.2018
06:23:33
Andor
24.10.2018
06:23:50
тогда объясни, что такое "при деплое"?
Google
Let Eat
24.10.2018
06:23:51
Вот есть секрет - EV сертификат. Как и куда его :)
kvaps
24.10.2018
06:24:08
Andor
24.10.2018
06:24:11
он может быть в Vault PKI, например
Let Eat
24.10.2018
06:24:41
Нет, секрет внешний, ваулт сам его создать не может
Andor
24.10.2018
06:25:05
точно?
Let Eat
24.10.2018
06:25:17
Точно
Andor
24.10.2018
06:25:31
ну раз ты так говоришь, значит так и есть
а например креденшлы для google bigtable - это "внешний" секрет или какой?
Let Eat
24.10.2018
06:26:40
Внешний если , с Гуглом интеграции волта нет
Andor
24.10.2018
06:26:50
сломали что ли?
вчера была
то есть "внешний" - если нет плагина для волта
ок
Let Eat
24.10.2018
06:27:27
Не настроили, нет желания, кто нибудь отвечающий за гугол не разрешает. Если жизнь вообщем
Andor
24.10.2018
06:27:30
для многого есть, но для многого, разумеется, нету
но это уже демагогия
Let Eat
24.10.2018
06:28:13
Конечно нет. Дел много, рук всего N*2
Волт это еще одна критичная рантайм зависимость
Andor
24.10.2018
06:28:58
разумеется критичная
Fike
24.10.2018
06:29:08
Google
Andor
24.10.2018
06:29:11
но если ты уже юзаешь кубеня, то +1 зависимость это уже ерунда
Let Eat
24.10.2018
06:29:38
Я все выношу в деплой/конфиг тайм, чтобы рантайм был как можно тупее
Andor
24.10.2018
06:29:45
и обновлять не очень автоматически
Let Eat
24.10.2018
06:30:48
Andor
24.10.2018
06:31:16
Fike
24.10.2018
06:31:20
Andor
24.10.2018
06:31:22
если костыли тебе ближе к телу - я не против
Let Eat
24.10.2018
06:32:08
Andor
24.10.2018
06:32:24
как ты отважился кубернетис поставить вообще?
kvaps
24.10.2018
06:32:49
Let Eat
24.10.2018
06:33:34
Потому что если куб пойдет попизде, все останется работать как было - контейнеры бегут, iptables правила на месте . Т.е. куб не рантайм зависимость
Andor
24.10.2018
06:34:17
ну так выгрузка EV-сертификата в инит-контейнере - тоже не рантайм зависимость тогда
kvaps
24.10.2018
06:35:14
Да, мне тоже нравится нравится идея все в виде простых конфигов хранить. Если что-то сломается всегда можно передеплоить заново
Let Eat
24.10.2018
06:35:31
Andor
24.10.2018
06:38:24
если стандартизируешь приезд сикретов в файлики, то он будет не "рантайм зависимостью" тоже
другое дело что какую-то ротацию сикретов тоже надо делать
но это очевидно снижает надёжность
Sherzod
24.10.2018
07:14:34
Посоны, а кроме kubernetes-dashboard есть что интересное и свежее?
Alexey
24.10.2018
07:23:31
rancher
Fike
24.10.2018
07:24:35
#проклято