PK
Коллеги кто может развеять сомнения параноика. Анонимные запросы к куб апи же не безопасны, так почему kube spray включает их по умолчанию и утверждают что kubeadm считает это безопасным?
Size: a a a
2020 August 27
L
Артем Орлов
Добрый день, подскажите почему csi-cephfs-provisioner не может создать pvc автоматически, а в ручную создает. Пишет такую ошибку waiting for a volume to be created, either by external provisioner "cephfs.csi.ceph.com" or manually created by system administrator
логи смотри в подах провизионера. небось ошибся с доступами
SM
Коллеги кто может развеять сомнения параноика. Анонимные запросы к куб апи же не безопасны, так почему kube spray включает их по умолчанию и утверждают что kubeadm считает это безопасным?
С включенным RBAC врятли что выйдет
DS
Коллеги кто может развеять сомнения параноика. Анонимные запросы к куб апи же не безопасны, так почему kube spray включает их по умолчанию и утверждают что kubeadm считает это безопасным?
да, за ддосить его невозмжно, и уязвимостей там никогда не было
A
Артем Орлов
Добрый день, подскажите почему csi-cephfs-provisioner не может создать pvc автоматически, а в ручную создает. Пишет такую ошибку waiting for a volume to be created, either by external provisioner "cephfs.csi.ceph.com" or manually created by system administrator
вангую что из-за сесурити контекста
PK
Дык если он не проходит авторизацию rbac он логинится как аноним юзер и аноним групп
PK
И данные с кластера по идее может почитать
АО
вангую что из-за сесурити контекста
понял, буду смотреть
A
A
вот че-то в эту степь
DS
Дык если он не проходит авторизацию rbac он логинится как аноним юзер и аноним групп
rbac как-то спасет от ддос и возможных уязвимостей?
PK
rbac как-то спасет от ддос и возможных уязвимостей?
Не ну фаервол никто не отменял, просто стало интересно какого фига если во всех секурити дайджестах говорят что это плохо.
SM
И данные с кластера по идее может почитать
у меня только /healthz доступен, остальное 403
PK
Да он там по сути и разрешён только для хелсчека)
SM
Да он там по сути и разрешён только для хелсчека)
тогда в чем вопрос?
PK
Вопрос в том безопасно ли это. В плане как потенциальная уязвимость.
DS
Не ну фаервол никто не отменял, просто стало интересно какого фига если во всех секурити дайджестах говорят что это плохо.
Ну дефолты всегда самый простой кейс покрывают.
Например деплоишь в этот кластер с помощью github actions, а там azure. И будет куча issues - "почему я не могу деплоить в кластер из gtihub actions". Думаешь оно им надо
Например деплоишь в этот кластер с помощью github actions, а там azure. И будет куча issues - "почему я не могу деплоить в кластер из gtihub actions". Думаешь оно им надо
SM
Вопрос в том безопасно ли это. В плане как потенциальная уязвимость.
можно я думаю cve поискать, по этому поводу, но я не встречал, @identw что то знает о дырах
DS
Вопрос в том безопасно ли это. В плане как потенциальная уязвимость.
Плюс если взять kubespray, там ansible. Он просто не может вменяймо управлять iptables правилами, не ломая правила k8s.