Вот тут не хватает ролевой модели. Чтобы каждый разраб видел в консоли то, на что прав хватает.

@nv30over просил сообщить, если найду даш, который понравится.

Поробовал openshift-console (https://github.com/openshift/console). Довольно неплох.
quay.io/openshift/origin-console:latest не завелся (4.6.0 и v3.11.0 нормально работали)
Интерфейс понравился больше чем у octant, k8dash.

Удобен в настройке, так как понимает что запущен внутри куба, и идет по дефолтным путям за секретами. Ему достаточно указать нужный serviceAccountName в поде и разрешить automountServiceAccountToken(он как правило разрешен по дефолту) и все. Тот же octant ищет kubeconfig, и ему нужен секрет именно в таком формате, с другой стороны octant предназначен для локального использования, а не для запуска в кластере.

С ограниченными правами работает по лучше чем k8dash, единственный нюанс, нужно догадаться перейти на /search/ns/нужный-ns. По умолчанию он тебя кидает на default ns, права на которые ты можешь не иметь. Также есть странность, что он некоторую инфу не может отобразить о кластере, даже с полными правами (cluster-admin): http://dl4.joxi.net/drive/2020/03/13/0030/2608/1985072/72/0fdf573211.jpg

Интерфейс выглядит так: http://dl4.joxi.net/drive/2020/03/13/0030/2608/1985072/72/6d53512a73.jpg

Всякие штуки для дебага в нем делать достаточно удобно. Как замена kubectl для прогеров думаю сойдет.
То что он из проекта openshift, и в кластере нативного куба наверное могут быть какие-то баги, но в целом все работает. Видно, что некоторые запросы возвращают 404 ошибку. Но вроде он умный и просто не показывает меню, для объектов, которые не смог вытащить из куба или на них нету прав. Например под ограниченной учеткой нет меню со списком нод.

На ранчер я конечно посмотрю, но пока openshift-console мой выбор

господа, а есть какой-нибудь механизм чтобы распространить секрет на все namespaces? в том числе и на те которые будут созданы, чтобы там появлялся этот секрет. Спасибо

@nv30over просил сообщить, если найду даш, который понравится.

Поробовал openshift-console (https://github.com/openshift/console). Довольно неплох.
quay.io/openshift/origin-console:latest не завелся (4.6.0 и v3.11.0 нормально работали)
Интерфейс понравился больше чем у octant, k8dash.

Удобен в настройке, так как понимает что запущен внутри куба, и идет по дефолтным путям за секретами. Ему достаточно указать нужный serviceAccountName в поде и разрешить automountServiceAccountToken(он как правило разрешен по дефолту) и все. Тот же octant ищет kubeconfig, и ему нужен секрет именно в таком формате, с другой стороны octant предназначен для локального использования, а не для запуска в кластере.

С ограниченными правами работает по лучше чем k8dash, единственный нюанс, нужно догадаться перейти на /search/ns/нужный-ns. По умолчанию он тебя кидает на default ns, права на которые ты можешь не иметь. Также есть странность, что он некоторую инфу не может отобразить о кластере, даже с полными правами (cluster-admin): http://dl4.joxi.net/drive/2020/03/13/0030/2608/1985072/72/0fdf573211.jpg

Интерфейс выглядит так: http://dl4.joxi.net/drive/2020/03/13/0030/2608/1985072/72/6d53512a73.jpg

Всякие штуки для дебага в нем делать достаточно удобно. Как замена kubectl для прогеров думаю сойдет.
То что он из проекта openshift, и в кластере нативного куба наверное могут быть какие-то баги, но в целом все работает. Видно, что некоторые запросы возвращают 404 ошибку. Но вроде он умный и просто не показывает меню, для объектов, которые не смог вытащить из куба или на них нету прав. Например под ограниченной учеткой нет меню со списком нод.

На ранчер я конечно посмотрю, но пока openshift-console мой выбор

Крутяк, гляну. По ресурсам ест много?

>quay.io/openshift/origin-console:latest не завелся

не надо пользоваться лейтестом конечно

@nv30over просил сообщить, если найду даш, который понравится.

Поробовал openshift-console (https://github.com/openshift/console). Довольно неплох.
quay.io/openshift/origin-console:latest не завелся (4.6.0 и v3.11.0 нормально работали)
Интерфейс понравился больше чем у octant, k8dash.

Удобен в настройке, так как понимает что запущен внутри куба, и идет по дефолтным путям за секретами. Ему достаточно указать нужный serviceAccountName в поде и разрешить automountServiceAccountToken(он как правило разрешен по дефолту) и все. Тот же octant ищет kubeconfig, и ему нужен секрет именно в таком формате, с другой стороны octant предназначен для локального использования, а не для запуска в кластере.

С ограниченными правами работает по лучше чем k8dash, единственный нюанс, нужно догадаться перейти на /search/ns/нужный-ns. По умолчанию он тебя кидает на default ns, права на которые ты можешь не иметь. Также есть странность, что он некоторую инфу не может отобразить о кластере, даже с полными правами (cluster-admin): http://dl4.joxi.net/drive/2020/03/13/0030/2608/1985072/72/0fdf573211.jpg

Интерфейс выглядит так: http://dl4.joxi.net/drive/2020/03/13/0030/2608/1985072/72/6d53512a73.jpg

Всякие штуки для дебага в нем делать достаточно удобно. Как замена kubectl для прогеров думаю сойдет.
То что он из проекта openshift, и в кластере нативного куба наверное могут быть какие-то баги, но в целом все работает. Видно, что некоторые запросы возвращают 404 ошибку. Но вроде он умный и просто не показывает меню, для объектов, которые не смог вытащить из куба или на них нету прав. Например под ограниченной учеткой нет меню со списком нод.

На ранчер я конечно посмотрю, но пока openshift-console мой выбор

А не сервисные учетки всякие. Да, можно, по неймспейсам, но надо ограничить сам доступ к дэшбордам.

> Также есть странность, что он некоторую инфу не может отобразить о кластере, даже с полными правами (cluster-admin):

это прикручено к опеншифтоспецифичным неймспейсам, раз у тебя их нет то и No Data

хм, а я думал он будет тянуть из status всех нод. Ну ладно. Не страшно

Да

там есть разделение на инфру и ворклоады, юзеру не стоит показывать сколько инфра жрёт

HeadersRegexp(key, regexp) мб и эту штуку юзали?

не, это было не под юзерам. Я когда тестил под cluster-admin запускал. Поэтому и удивился. А под юзером то понятно, что ничего не видно будет