GG
Или берёшь ранчер или шифт
Size: a a a
2020 October 15
S
Роли - пилишь сам
разве они не генерятся тогда, когда я создаю роли в UI ранчера?
DS
а это кастомный у тебя рбак? или дефолтный в кубе?
у меня кастомный. Но я думаю дефолтной роли view должно хватить (у меня она наоборот зарезана в кастомном)
DS
ну провалившись по урле, вывело джсон апихи кубера
http://i.imgur.com/GYjLVtx.png
"message": "pods \"email-validator-production-6f86bb87b6-gc2jx\" is forbidden: User \"u-smuy4qrke7\" cannot get resource \"pods/exec\" in API group \"\" in the namespace \"email-validator-production\"",
это всё конечно потрясающе, только у меня права такие даже:http://i.imgur.com/GYjLVtx.png
он же тебе черным по белому пишет нужен pods/exec с verb get =)
DS
да это рбак просто реализован сложно
зато гибко
N
господа, а кто заводил куберокластре с внешним CA и передачей промежуточного центра сертификации контролплейнам?
DS
Роли - пилишь сам
есть преднастроенные clusterroles - view, edit, admin. Для базовых вещей их хватает. Цепляешь их по rolebinding к нужной sa и профит
GG
господа, а кто заводил куберокластре с внешним CA и передачей промежуточного центра сертификации контролплейнам?
Мне тоже актуально
MS
Кто-нибдь работал с https://github.com/Orange-OpenSource/galera-operator? или с каким-то другим оператором для Galera
S
он же тебе черным по белому пишет нужен pods/exec с verb get =)
так я это сделал)))
S
видимо еще промежуточные абстракции ранчера теряются
S
вернее права на них
DS
это какой-то гуи ранчера, который не очевидно что показывает. Смотри нормальный rbac привязан ли он к учетке и так далее
L
это какой-то гуи ранчера, который не очевидно что показывает. Смотри нормальный rbac привязан ли он к учетке и так далее
дык там и учетка внутренняя ранчера
GG
Ну, э, да
L
с токеном от этой учетки напрямую в апи кластера не пустит
S
это какой-то гуи ранчера, который не очевидно что показывает. Смотри нормальный rbac привязан ли он к учетке и так далее
GG
с токеном от этой учетки напрямую в апи кластера не пустит
Почему это ?
S
ща психану и просто поставлю Project Member и пошло оно всё)))