https://m.habr.com/ru/company/southbridge/blog/472484/
вот чисто кубовские угрозы, которые связаны именно с настройой. Но обычный взлом приложений тоже никто не отменял

У нас OpenShift, но я так понимаю, разницы в плане информационной безопасности особо нет.
Благодарю за ссылку!

E0226 19:15:51.434125       1 leaderelection.go:330] error retrieving resource lock kube-system/kube-controller-manager: endpoints "kube-controller-manager" is forbidden: User "system:kube-controller-manager" cannot get resource "endpoints" in API group "" in the namespace "kube-system"
E0226 19:15:54.312699       1 leaderelection.go:330] error retrieving resource lock kube-system/kube-controller-manager: Get https://172.30.30.1:6443/api/v1/namespaces/kube-system/endpoints/kube-controller-manager?timeout=10s: dial tcp 172.30.30.1:6443: connect: connection refused

подскажите какой именно сертифкат или ключ используется kube-controller-manager для авторизации в etcd?

такая ошибка на одном из мастеров

Никакой. Контроллер менеджер только в апи ходит

Коннекшен рефузед у тебя. Апи сервер не поднялся

Нетлинк как раз, по идее, не проблема, кроме перехода с iptables на nftables (я не помню, чтобы нетлинк-интерфейс ломали), а вот с либой засада побольше, т.к. стабильность API libiptc не гарантируется.

Всем привет,
Есть кто цеплял NFS на поды?
Как можно управлять доступами создаваемых файлов?
Если подов много, внутри приложения крутятся под разными пользователями, а файлы хотелось бы генерить под одними правами каким-нибудь appuser пользователем.
Есть такие реализации?

Всем привет!
Подскажите, пожалуйста. Без малейшего понятия куда смотреть.
Использую GKE версию 1.15.9 и Helm 3 для деплоя микросервисов. Развернул два абсолютно одинаковых по коду окружения в разных нэймспэйсах. В одном нэймспэйсе всё хорошо, а в другом мой микросервис (с тремя репликами) не может через Service Name (service.metadata.name) отправить запрос на другой сервис внутри кластера и просто по таймауту в 30 секунд обрубает соединение.
Под сервисом я подразумеваю абстракцию Kubernetes.

В какую сторону смотреть в таком случае? Никаких NetworkPolicy не юзал, ClusterRoles не юзал. Оба нэймспэйса создавались через kubectl create namespace ... .

а namespace указываешь в названии?

Имеется в виду когда стучусь от микросервиса к микросервису?
Если да, то я, как написал, стучусь через название сервиса, а не через DNS, который выдаёт kube-dns

Пингуется всё хорошо, курлы проходят внутри кластера.
Запросы идут извне в кластер через API, который находится за балансировщиком

Причём половину микросервисов откликается, а половина - нет

В другом нэймспэйсе всё гуд

попробуй тоже самое поднять в другом неймспейсе, сравни

Т.е. client -> Load Balancer -> API -> many microservices

Так поднял dev и qa нэймспэйсы. Или ещё один?)

Объясните новичку , что происходит под капотом , когда выполняю kubectl expose

QA пашет, dev - наполовину нет

если ты говоришь что в другом месте работает, проведи эксперимент с теми же условиями в другом месте)