AS
ну в целом как по мне так больше гранулярности и не надо. если кому-то надо только в один под права, канеш придется рбачить
Size: a a a
2020 September 01
AS
я бы добавил темплейтинг сюда, конечно, если проектов больше одного, а юзеров тоже больше одного, галочки тыкать заколебаешься и надо применять кли
AS
а лучше вообще ранчер не использовать, выдавая права, это не совсем совместимо с ванильным кубером будет и могут быть проблемы, когда будут выпиливать ранчер )
S
или гранулярности не хватает ? или галочки долго тыкать
гранудярности и нормальной доки по настройке кастомных ролей, я её у них не увидел
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
GG
гранудярности и нормальной доки по настройке кастомных ролей, я её у них не увидел
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
я такое решал
S
я такое решал
через что?
DS
Через label? Есть примеры?)
mutating webhook который добавляет nodeSelector или nodeAffinity на все поды в определенном namespace
DS
О, нефига. Не знал про такой feature gate
👍
👍
GG
через что?
я точно не помню, но два варика - либо даешь МИНИМАЛЬНЫЕ ПРАВА+потом накидываешь дополнительные через панель ранчера
AS
read only на проект и все ) ты же понимаешь, что невозможно унифицировать хотелки каждого, слишком много вариаций.
GG
либо руками пишешь рольбиндинг
GG
read only на проект и все ) ты же понимаешь, что невозможно унифицировать хотелки каждого, слишком много вариаций.
+
AS
выбрали самый распространенные кейсы и их накодили, если надо больше - рбачить
DS
гранудярности и нормальной доки по настройке кастомных ролей, я её у них не увидел
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
а че ты просто rbac обычный не юзаешь? Там же это просто сделать. Да и конфигурацию можно в гите сохранить
AS
если ранчер в полный рост с проектами и прочим, там надо еще понять как это правильно сделать
AS
ибо там появляется еще
"name": "prtb-9fkks",
"namespaceId": null,
"projectId": "local:p-5zr7z",
"roleTemplateId": "project-owner",
"type": "projectRoleTemplateBinding",
"userId": "user-zqdqc",
"userPrincipalId": "local://user-zqdqc",
"uuid": "dbdb2b51-52f9-4ff9-965b-1588e22493e9"
"name": "prtb-9fkks",
"namespaceId": null,
"projectId": "local:p-5zr7z",
"roleTemplateId": "project-owner",
"type": "projectRoleTemplateBinding",
"userId": "user-zqdqc",
"userPrincipalId": "local://user-zqdqc",
"uuid": "dbdb2b51-52f9-4ff9-965b-1588e22493e9"
DS
гранудярности и нормальной доки по настройке кастомных ролей, я её у них не увидел
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
например надо чтоб они могли видеть все поды, но не могли с ними ничего делать, кроме как логи смотреть
то что ты описал, это дефолтная clusterrole -
viewGG
Артём прав, что там есть роль в самом ранчере с минимальными правами
GG
Я правда это делал полгода назад и все забыл
АН
mutating webhook который добавляет nodeSelector или nodeAffinity на все поды в определенном namespace
решение со стака мне больше подходит)