AT
ну так точно та роль из которой вы делаете kubectl и та роль которая в консоли одна и та же?
Size: a a a
2021 February 17
SD
Al T
ну так точно та роль из которой вы делаете kubectl и та роль которая в консоли одна и та же?
хороший вопрос
AT
откройте cloudshell из консоли и сделайте aws sts get-caller-identity
AT
вот что он там покажет вот это и надо добавить будет в auth. либо можно кластер убить и запустить eksctl еще раз из cloudshell, он возьмет ту же роль что используется при заходе в консоль
DV
Покажите в чем может быть проблема. Приложение задеплоено в ECS приложения. Через load balancer в UI можно зайти в него все ок, конекты к базе данных есть. Но нету smtp соиденения. С самой ec2 конектится в мир все ок. А если зайти в сам контейнер мир не пингуется и не куда не конектится, кроме приватной сети. Security group уже дал все разрешения, не чего не поменялось. Что может быть это?
SD
Черт, мы используем saml провайдера и получается, что логинишься через такой UI выбирая аккаунт и получается что ты с поассумленной ролью заходишь, а не как юзер, которого я aws cli прикрутил
SD
Al T
вот что он там покажет вот это и надо добавить будет в auth. либо можно кластер убить и запустить eksctl еще раз из cloudshell, он возьмет ту же роль что используется при заходе в консоль
Спасибо огромное!
S
Покажите в чем может быть проблема. Приложение задеплоено в ECS приложения. Через load balancer в UI можно зайти в него все ок, конекты к базе данных есть. Но нету smtp соиденения. С самой ec2 конектится в мир все ок. А если зайти в сам контейнер мир не пингуется и не куда не конектится, кроме приватной сети. Security group уже дал все разрешения, не чего не поменялось. Что может быть это?
nat gateway?
DV
nat gateway?
А ec2 как ходит тогда? Или для таски нужен nat?
S
А ec2 как ходит тогда? Или для таски нужен nat?
для выхода в мир приватным нодам нужен nat
DV
для выхода в мир приватным нодам нужен nat
Я понял. Спасибо. Попробую. Но все же тогда не понимаю почему в хоста есть доступ а в контейнера нет.
S
Я понял. Спасибо. Попробую. Но все же тогда не понимаю почему в хоста есть доступ а в контейнера нет.
тут тогда уже не подскажу, не в курсе как устроен ECS по сетке
SD
Al T
вот что он там покажет вот это и надо добавить будет в auth. либо можно кластер убить и запустить eksctl еще раз из cloudshell, он возьмет ту же роль что используется при заходе в консоль
убивать к сожалению уже не вариант, блин похоже не помогло
AT
ну прям странно, в masters группу добавили? Роль можете в личку указать? она там у вас не с несколькими слешами?
SD
Al T
ну прям странно, в masters группу добавили? Роль можете в личку указать? она там у вас не с несколькими слешами?
у меня assumed-role, видимо так нельзя
AT
у меня assumed-role, видимо так нельзя
у меня та же нога и не болит
DH
Al а сможете подсказать по созданию запроса в cloudwatch?
судя по синтаксису у меня получается вытянуть action и source по имени iam role.
я хотел бы сделать еще trim и обрезать rtrim(eventSource, 'amazonaws.com') as resource, но почему-то не выходит. :/
судя по синтаксису у меня получается вытянуть action и source по имени iam role.
stats count(*) by eventName, eventResouce
|filter userIdentity.sessionContext.sessionIssuer.userName="role-name"
я хотел бы сделать еще trim и обрезать rtrim(eventSource, 'amazonaws.com') as resource, но почему-то не выходит. :/
DH
concat получается сделать без проблем
DH
если делать trim без точек в string, то все проходит.
например так: |fields rtrim("ssm","m") as action
например так: |fields rtrim("ssm","m") as action
DH
|fields rtrim(eventSource, 'onaws.com') as resource
|fields rtrim(resource, 'amaz') as resource1
|fields rtrim(resource1, '.') as resource2
|fields rtrim(rtrim(rtrim(eventSource, 'onaws.com'), 'amaz'), '.') as resource
так сработало..