GG
Вроде в опеншифт нет концепции групп пользователей, но это не точно
Size: a a a
2020 September 17
GG
В ранчере точно есть. Но там ущербная система проектов
M
В ранчере точно есть. Но там ущербная система проектов
Там группы это либо в его личном api, либо никак
GG
Я про это же )
DS
у меня аутентификация пользователей с происходит с помощью клиентских сертификатов X.509. Каждый пользователь имеет свой kubeconfig. они находятся в разных группах. Я хочу rolebinding дать не пользователю, а группу пользователей. но беда в том что сущность группа находиться в ОС, а имя пользователя записан в kubeconfig. в таком случае можно использовать имя пользователя для rolebinding. теперь вопрос. Как создать группы для пользователей, чтобы этим группам можно было управлять с kubernetes?
В кубе нет сущности "группа", и он берет эту сущность из плагина аутентификации, который в свою очередь группой считает банально поле Organization из x509 сертификата
DS
Но как это связано с группами в системе я не понял, или ты свой плагин аутентификации написал, который с pam линукса взаимодейсвтует?
GG
В кубе нет сущности "группа", и он берет эту сущность из плагина аутентификации, который в свою очередь группой считает банально поле Organization из x509 сертификата
Как думаешь, товарищу интеграцию с лдап тащить ?
DS
Как думаешь, товарищу интеграцию с лдап тащить ?
Ну надо задачу смотреть. Сколько там людей, есть ли LDAP вообще. Но часто может хватить банальных SA
DS
Некоторые oauth с github делают, и на тимы завязываются
MD
интеграция с LDAP это хорошо, но для моей задачи не надо. Все таки наверно через serviceaccount буду решить проблему. Спасибо всем.
DS
интеграция с LDAP это хорошо, но для моей задачи не надо. Все таки наверно через serviceaccount буду решить проблему. Спасибо всем.
ты можешь одному SA давать доступы на несколько namespace. Но групп к сожалению нет =(
GG
Ну надо задачу смотреть. Сколько там людей, есть ли LDAP вообще. Но часто может хватить банальных SA
А чем sa тут поможет ?
GG
ты можешь одному SA давать доступы на несколько namespace. Но групп к сожалению нет =(
Можно
AS
забодал гитлаб, вспотел кароче. ну и поделие (но другие еще хуже)
EP
забодал гитлаб, вспотел кароче. ну и поделие (но другие еще хуже)
jenkinsci helm chart оказался вменяемым +/-
EP
из коробки в кубере агенты поднимаются, всё из кода мэнеджится
EP
но жалею что concourse ci не пощупал
AS
в базе было хранилище кода сначала )
AS
то есть гит первоначально всем нужен, остальное как довесок
EP
Гитлаб так резрекламирован, а как поставили - отплевались… все интеграции оказалось проще в скриптах через cli настроить, чем изучать что в gitlab нахеровертили