TF
а ты не в курсе, где они свои эксабайты хранят после експериментов?
Size: a a a
2020 March 04
VR
а ты не в курсе, где они свои эксабайты хранят после експериментов?
Ceph
YZ
27 Тб оперативы. Кажется я нашел где можно запускать наш монолит
TF
Ceph
на hdd ? :)
VR
на 8" флоппи дисках
AG
на 8" флоппи дисках
72.6 К штук :D
OF
Привет! В контексте kubernetes-dashboard
1) Я правильно понимаю, что дать доступ аккаунту только к определенным неймспейсам можно только разместив сам dashboard в этих неймспейсах, как описано здесь https://akomljen.com/installing-kubernetes-dashboard-per-namespace/ ? Получается, сколько неймспейсов столько и инстансов дашборда?
1) Я правильно понимаю, что дать доступ аккаунту только к определенным неймспейсам можно только разместив сам dashboard в этих неймспейсах, как описано здесь https://akomljen.com/installing-kubernetes-dashboard-per-namespace/ ? Получается, сколько неймспейсов столько и инстансов дашборда?
OF
2) Может, какие-то другие реализации web-ui позволяют настраивать доступы средствами самого web-ui? Как обычно и бывает во всяких web-ui
R
Привет! В контексте kubernetes-dashboard
1) Я правильно понимаю, что дать доступ аккаунту только к определенным неймспейсам можно только разместив сам dashboard в этих неймспейсах, как описано здесь https://akomljen.com/installing-kubernetes-dashboard-per-namespace/ ? Получается, сколько неймспейсов столько и инстансов дашборда?
1) Я правильно понимаю, что дать доступ аккаунту только к определенным неймспейсам можно только разместив сам dashboard в этих неймспейсах, как описано здесь https://akomljen.com/installing-kubernetes-dashboard-per-namespace/ ? Получается, сколько неймспейсов столько и инстансов дашборда?
А просто сервис аккаунт сделать каждому и выдать ему права только на интересующий неймспейс не вариант? Сам дешборд будет видеть всё, но юзеры будут по токену авторизоваться собственному, и соответственно видеть/менять смогут только что им явно позволено
OF
вот это я и спрашиваю, можно ли так?
I
1 Нет - один дашик может просматривать все нс, доступ в какие нс он может смотреть зависит от токена который ему при ауфе юзер передает.
2. Шифтовая морда - кокпит вроде умеет, и тут где то в чатике пробегала инфа что ее к куберу прикручивали.
2. Шифтовая морда - кокпит вроде умеет, и тут где то в чатике пробегала инфа что ее к куберу прикручивали.
R
По идее же если человек через
kubectl не может что-то сделать, то и через дешборд не получится у него. Для доступа к дешборду и kubectl proxy надо будет дополнительные права дать только, но звучит как будто должно работатьR
Я лично так сделал пока, но сам не уверен, насколько это хорошо
OF
А сервисаккаунту (юзерскому) не нужен доступ в ns где живет сам дашборд?
OF
а то он живет там куда им нельзя
VR
2) Может, какие-то другие реализации web-ui позволяют настраивать доступы средствами самого web-ui? Как обычно и бывает во всяких web-ui
у github.com/openshift/console есть настройки для RBAC, работает и с кубером
i
2) Может, какие-то другие реализации web-ui позволяют настраивать доступы средствами самого web-ui? Как обычно и бывает во всяких web-ui
Ранчер
R
А сервисаккаунту (юзерскому) не нужен доступ в ns где живет сам дашборд?
Нужен на небольшую часть ресурсов, каких именно - можно понять, создав сервис аккаунт и попробовав зайти на дешборд, запустив с токеном аккаунта kubectl proxy. Оно будет отдавать ошибки в духе "нет доступа к такому-то ресурсу в таком-то неймспейсе", пока не выдашь все что нужно
R
Причем по-моему там какие-то кастомные ресурсы есть, так что чтобы через дешборд сделать scale или там деплоймент удалить, надо на это тоже явно права выдавать
R
Даже если у сервис аккаунта уже есть права делать это в конкретном неймспейсе, в дешборде это отдельные настройки