AS
как-то ты неправильно ее редактируешь )
Size: a a a
2020 October 01
SS
как-то ты неправильно ее редактируешь )
подскажи пожалуйста как правильно)
L
Коллеги есть вопрос. В кластере включен psp, по-умолчанию для system:authenticated установлена политика, запрещающая запуск от рута. При запуске деплоймента она применяется, под, который работает от рута не поднимается. Но если запускаешь
kubectl run php-apache --image=gcr.io/google\_containers/hpa-example --requests=cpu=500m,memory=500M --expose --port=80, к нему применяется политика с allowPrivilegeEscalation: true и он запускается. Почему? куб 1.18Ну ты под создаёшь с админкой учётки. Псп игнорится для админа
ИК
не помогло, после удаление строки ошибка следующая
# services "monitoring-prometheus-oper-kubelet" was not valid:
# * spec.clusterIP: Invalid value: "": field is immutable
# services "monitoring-prometheus-oper-kubelet" was not valid:
# * spec.clusterIP: Invalid value: "": field is immutable
clusterIP нельзя поменять без пересоздания сервиса
AS
щас подскажут, я через час за компом буду )
A
Ну ты под создаёшь с админкой учётки. Псп игнорится для админа
нет. Не игнорится. Если создавать деплойментом, применяется правильная же. А тут цепляется другая, непонятно, по какому принципу
SS
clusterIP нельзя поменять без пересоздания сервиса
т.е. через kubectl apply?
L
Aleksandr Stolbov
все обновлено вроде как
Версия куба ?
Что у тебя в конфигурации для доступа кублета?
Etc kubernetes kubelet.conf которая.
Там тоже сертификат есть. Который по ренью Алл не обновляется.
Ищи мою статью на Хабре про кластер и тыкву. Там команду я давал как перевыпустить серты для кублетовских юзеров
Что у тебя в конфигурации для доступа кублета?
Etc kubernetes kubelet.conf которая.
Там тоже сертификат есть. Который по ренью Алл не обновляется.
Ищи мою статью на Хабре про кластер и тыкву. Там команду я давал как перевыпустить серты для кублетовских юзеров
L
т.е. через kubectl apply?
Ващще никак
L
нет. Не игнорится. Если создавать деплойментом, применяется правильная же. А тут цепляется другая, непонятно, по какому принципу
Пфф. Когда ты деплоймент в кластер кладешь, то реплика сет и поды у тебя уже с правами дефолтного сервисаккаунта создаются. А не с админа
AS
Версия куба ?
Что у тебя в конфигурации для доступа кублета?
Etc kubernetes kubelet.conf которая.
Там тоже сертификат есть. Который по ренью Алл не обновляется.
Ищи мою статью на Хабре про кластер и тыкву. Там команду я давал как перевыпустить серты для кублетовских юзеров
Что у тебя в конфигурации для доступа кублета?
Etc kubernetes kubelet.conf которая.
Там тоже сертификат есть. Который по ренью Алл не обновляется.
Ищи мою статью на Хабре про кластер и тыкву. Там команду я давал как перевыпустить серты для кублетовских юзеров
Ca сертификат не нужно обновлять?
AS
Он там же в pki лежит
L
Aleksandr Stolbov
Ca сертификат не нужно обновлять?
Он на 10 лет обычно кубадм делает
AS
Понятно, поищу спс
A
Пфф. Когда ты деплоймент в кластер кладешь, то реплика сет и поды у тебя уже с правами дефолтного сервисаккаунта создаются. А не с админа
Об этом где-то можно почитать? и вручную запущенный под таки привязан к psp. но к такой, у которой есть привилегированные права
L
Об этом где-то можно почитать? и вручную запущенный под таки привязан к psp. но к такой, у которой есть привилегированные права
Думаю, что в документации
A
Думаю, что в документации
Действительно) Спасибо, буду искать
SS
Ващще никак
а как тогда можно метрики kubelet вывести наружу?
L
а как тогда можно метрики kubelet вывести наружу?
а как связаны метрики кублета и изменение поля ClusterIP в манифесте какого-то сервиса ???
SS
а как связаны метрики кублета и изменение поля ClusterIP в манифесте какого-то сервиса ???
у меня есть prom operator, который мониторит kuber, мне нужно вывести наружу все местрики наружу, чтобы zabbix их мог подхватить.
согласен извращение, но как то так
согласен извращение, но как то так