i
кроме etcd
Size: a a a
2020 September 24
GG
в контроллеры
i
в контроллеры
Так вроде они же в него
GG
которые должны ему, например, сказать имеет ли право ХХХ хрен сделать УУУУ над объектом ЗЗЗ
GG
но контроллеры не обязаны на мастерах запускаться (но лучше б им быть там)
i
А на эту тему сегодня в другой конфе был разговор
GG
остаются nginx admission webhook или как оно там
GG
и в них тоже куб апи должен ходить, чтобы валидировать - может ли чувак задеплоить, скажем, кривой ингресс
i
Вроде @kvaps определил, что там без контроллеров обходится, хотя я сомневался
GG
называй как хочешь
GG
веб хук и веб хук
k
ну вот смотри, возьмём вебхук cert-manager'а к примеру:
конфиг содержит:
значит apiserver будет ходить на сервис
k get mutatingwebhookconfigurations cert-manager-webhook
конфиг содержит:
webhooks:
clientConfig:
service:
name: cert-manager-webhook
namespace: cert-manager
path: /mutate
port: 443
значит apiserver будет ходить на сервис
cert-manager-webhook в неймспейсе cert-manageri
так, понял, что я тебя изначально не понял
i
api дергает, но не обрабатывает самостоятельно, что я и хотел сказать, но криво
G
Как вариант вывешивать вебхуки с
hostNetwork: true и заставить apiserver ходить на эндпоинты, но хочется сделать более универсальноИз под хостнетворка - потому, что апи-сервер не знает про поднетворк?
k
ну вот смотри, возьмём вебхук cert-manager'а к примеру:
конфиг содержит:
значит apiserver будет ходить на сервис
k get mutatingwebhookconfigurations cert-manager-webhook
конфиг содержит:
webhooks:
clientConfig:
service:
name: cert-manager-webhook
namespace: cert-manager
path: /mutate
port: 443
значит apiserver будет ходить на сервис
cert-manager-webhook в неймспейсе cert-managerа теперь представь что apiserver запущен вообще в отдельном окружении без доступа в сеть кластера
i
а теперь представь что apiserver запущен вообще в отдельном окружении без доступа в сеть кластера
прокся
k
Из под хостнетворка - потому, что апи-сервер не знает про поднетворк?
Да, по сути он ничего не знает, так как живёт в отдельном кластере
k
прокся
куда?
i
в кластер нетворк по имени, либо дополнительная маршрутизация