Коллеги, подскажите какие права должны быть у сервисов при обращении к бд, которая вне контейнера естественно.
БД postgresql. Я так понимаю, один кластер, на каждый сервис своя бд. Сейчас права суперпользователя.
Имхо для администрирования бд должна быть одна учётка, для использования сервисом другая. Причём сервисной должны быть crud права только на данные. Crud на таблицы должен быть только у админской учетки.

Имеется ввиду что все среды будут в кубах (но разные кластера) но для каждой среды у каждого приложения хотелось чтобы был свой values

ребята а что нужно сказать nginx-ingress к опции
nginx.ingress.kubernetes.io/whitelist-source-range: ip,ip
чтобы брался ипшник с X-Forwarded-For?

Ну у меня в репо несколько валуесов просто vakues-dev.yaml, values-prod.yaml итд

да да из гита ) еще в октябре

Коллеги, подскажите какие права должны быть у сервисов при обращении к бд, которая вне контейнера естественно.
БД postgresql. Я так понимаю, один кластер, на каждый сервис своя бд. Сейчас права суперпользователя.
Имхо для администрирования бд должна быть одна учётка, для использования сервисом другая. Причём сервисной должны быть crud права только на данные. Crud на таблицы должен быть только у админской учетки.

народ, все и все таки
как проверить что имя сервиса точно присутсвует в DNS?

делаю
kubectl -n test get ep chi-test-011-secured-cluster-default-1-0 -o=custom-columns=field:.subsets[*].addresses[*].hostname
получаю

               329ms                  [bash] field
               329ms                  [bash] chi-test-011-secured-cluster-default-1-0-0

то есть сервис в apiserver есть и endpoints для него прописаны

тут же пытаюсь изнутри пода сделать коннект по имени сервиса

kubectl -n test exec chi-test-011-secured-cluster-default-0-0-0 -n test -- clickhouse-client -h chi-test-011-secured-cluster-default-1-0 --port=9000 -u default  --query="select 'OK'" 

эта сволочь не может отрезолвить имя сервиса

            1s 954ms                [bash] Code: 210. DB::NetException: Host not found: chi-test-011-secured-cluster-default-1-0 (chi-test-011-secured-cluster-default-1-0:9000)

Я делаю CREATE ROLE, потом создаю базу у которой OWNER эта ROLE. И все. Она не суперюзер и может все что нужно в рамках своей БД

ойвей. считай нули
chi-test-011-secured-cluster-default-1-0-0
chi-test-011-secured-cluster-default-1-0

ну и по такому короткому имени некорректно конектится. надо еще хотя бы имя сервиса добавить через точку.

я конекчусь по имени headless сервиса к 1-0
1-0-0 имя пода

я нормально посчитал нули

в кубернетес 1.14.10 это отлично прокатывает без ошибок

после того как endpoints в 1-0 обнаружены как 1-0-0
имя сервиса начинает сразу резолвится

а в 1.15, 1.16, 1.17 нифига

у тебя щас какая версия кластера ?

1.14.10
вот прямо щас накатывается
потом 1.17.3 попробую
и покажу конфиг из resolve