B
API вытащить наружу пока нет возможности
Добрый вечер.
Подскажте, пож., как быть.
Нужно в gitlab добавить k8s.
Общая схема выглядит так:
Size: a a a
2020 March 03
AK
>Нужно в gitlab добавить k8s.
Хм. Что?
Хм. Что?
B
>Нужно в gitlab добавить k8s.
Хм. Что?
Хм. Что?
L
Посоветуйте шедулер для сайдкара, но не cron (он хочет из под рута работать). Нужно бэкапить содержимое pv, но оно в
ReadWriteOnce примонтировано к поду. То есть cronjob юзать не могуVelero с рестик как комплексное решение
2020 March 04
MT
а как не давать права рута пользователю внутри контейнера?
или защитить основную ОС от вмешательства из под контейнера?
или защитить основную ОС от вмешательства из под контейнера?
VS
ркн гугл вроде не банил еще
ВЕ
M T
а как не давать права рута пользователю внутри контейнера?
или защитить основную ОС от вмешательства из под контейнера?
или защитить основную ОС от вмешательства из под контейнера?
запускать с опциями RunAsUser и эскалацию привелегий отрубить.
ВЕ
M T
а как не давать права рута пользователю внутри контейнера?
или защитить основную ОС от вмешательства из под контейнера?
или защитить основную ОС от вмешательства из под контейнера?
Не читал https://habr.com/ru/company/flant/blog/481114/ ? ;)
ВЕ
Это уже после чтения документации про RunAsUser
DS
M T
а как не давать права рута пользователю внутри контейнера?
или защитить основную ОС от вмешательства из под контейнера?
или защитить основную ОС от вмешательства из под контейнера?
psp
V
А под каким подьзаком запускать контецнеры? Создавать его на нодах или голый id использовать, все неймспейсы под одним подьзаком или каждый под своим
DS
А под каким подьзаком запускать контецнеры? Создавать его на нодах или голый id использовать, все неймспейсы под одним подьзаком или каждый под своим
как хочешь, в psp можно задать минимальный и максимальный uid'ы. Если uid явно не указан через securityContext, и от рута запускать запрещено, будет запущено от минимального uid
DS
А под каким подьзаком запускать контецнеры? Создавать его на нодах или голый id использовать, все неймспейсы под одним подьзаком или каждый под своим
создавать на нодах и в контейнере ничего не надо
V
создавать на нодах и в контейнере ничего не надо
?кубер под этим подьзаком запускать и все?
DS
А кто-нибудь собирает метрики из nginx ingress контроллера по различным uri?
Раньше с vts это было не сложно:
А сейчас есть способ это сделать? Я так понимаю надо вникать в lua код, который там генерит метрики для прома. Кто-нибудь уже решал эту задачу?
Раньше с vts это было не сложно:
map $uri $api_uri {
"~^/user.*$" "/user";
"~^/order .*$" "/order";
default "/";
}
...
vhost_traffic_status_filter_by_set_key $api_url route;
А сейчас есть способ это сделать? Я так понимаю надо вникать в lua код, который там генерит метрики для прома. Кто-нибудь уже решал эту задачу?
DS
?кубер под этим подьзаком запускать и все?
нет. ничего не надо, только включить psp и настроить. Почитай доку
ВЕ
?кубер под этим подьзаком запускать и все?
Просто прописывать в yaml'ах твоих нужные настройки. Прочти уже документацию наконец, ключевые слова тебе подсказали ведь
VY
ркн гугл вроде не банил еще
Было дело пару лет назад)
S
Подскажите плиз, а кто юзает Ingress Controller кубернетуса как ингрес, но не только для тех сервисов, которые в самом кубернетусе но и внешние. С целью удобства централизованного хренения конфигураций и управления. Насколько я понимаю отказоустойчивость ингресса реализуется штатными средствами