Телеграмм чат группы kubernetes

Size: a a a

Kubernetes — русскоговорящее сообщество

5349 membersпожаловаться на группу

2020 October 16

Artem Silenkov in Kubernetes — русскоговорящее сообщество

а если енвов мультиплай, то и все 90%

источник

18:52пожаловаться #1

Lucky SB in Kubernetes — русскоговорящее сообщество

Stacy Fidelina

Ребятки, приветы
Кто-то может подсказать чего не хватает, чтобы пользователь увидел неймспейс в веб интерфейсе опеншифта?

---
apiVersion: authorization.openshift.io/v1
kind: Role
metadata:
  name: ahub-view
  namespace: laboratory
rules:
- apiGroups:
  - ""
  attributeRestrictions: null
  resources: ["*"]
  verbs:
  - get
  - list
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: view
  namespace: laboratory
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: view
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: view

У тебя роль называется ahub-view, а в биндинге ссылка на роль с другим именем view

источник

19:00пожаловаться #2

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

Lucky SB

У тебя роль называется ahub-view, а в биндинге ссылка на роль с другим именем view

из того, что я поняла, там нужно выдать get на namespace

источник

19:01пожаловаться #3

Lucky SB in Kubernetes — русскоговорящее сообщество

Stacy Fidelina

из того, что я поняла, там нужно выдать get на namespace

нафига ? что тебе надо то ? )))

источник

19:02пожаловаться #4

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

Lucky SB

нафига ? что тебе надо то ? )))

чтобы в опеншифте чел мог зайти в морду, увидеть там имя неймспейса, войти в него и увидеть поды и его логи и метрики

источник

19:03пожаловаться #5

Lucky SB in Kubernetes — русскоговорящее сообщество

я веб интерфейс опеншифта не видел. но не думаю, что там они специально делали необходимость выбирать один неймспейс из одного возможного.

источник

19:03пожаловаться #6

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

Переслано от Stacy Fidelina

Приветы!
Пытаюсь выдать пользователю доступ до неймспейчас на просмотр

---
apiVersion: authorization.openshift.io/v1
kind: Role
metadata:
  name: ahub-view
  namespace: laboratory
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: ahub-view
  namespace: laboratory
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: ahub-view
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: ahub
---

и получаю ошибку в веб консоле

источник

19:03пожаловаться #7

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

сейчас это вот так

источник

19:03пожаловаться #8

Lucky SB in Kubernetes — русскоговорящее сообщество

что за ошибка то ?

источник

19:04пожаловаться #9

Timofey Larkin in Kubernetes — русскоговорящее сообщество

Stacy Fidelina

слушай, любой кластер view дает просомтр на весь кластре, а мне нужно только на один неймспейс

Да, поэтому надо свою кластерроль нарисовать, которая позволяет только get list watch на namespaces

источник

19:05пожаловаться #10

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

там есть такая, но она дает прям на всёёёё

источник

19:05пожаловаться #11

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

а надо бы одну

источник

19:05пожаловаться #12

Stacy Fidelina in Kubernetes — русскоговорящее сообщество

в умных статьях пишут что типо https://cloud.croc.ru/blog/byt-v-teme/kubernetes-1-7-nastroika/
вот так норм

cloud.croc.ru

Kubernetes 1.7 - Настройка RBAC

В этом руководстве будут рассмотрены основные объекты API Kubernetes, предназначенные для управления доступом на основе ролей (RBAC).

источник

19:06пожаловаться #13

Slach in Kubernetes — русскоговорящее сообщество

Переслано от Slach

https://github.com/pixie-labs/pixie

а кто нибудь вот это видел уже?

GitHub

pixie-labs/pixie

Instant Kubernetes-Native Application Observability - pixie-labs/pixie

источник

19:06пожаловаться #14

Lucky SB in Kubernetes — русскоговорящее сообщество

ну значит берешь готовую кластерную роль view и вырезаешь из нее все, где нет слова namespace

источник

19:06пожаловаться #15

Aleksey Lazarev in Kubernetes — русскоговорящее сообщество

Какую головную боль я могу схватить если укажу node-critical приоритет у ингресса?
Никогда так не делал.

источник

19:39пожаловаться #16

Andrey in Kubernetes — русскоговорящее сообщество

Stacy Fidelina

Переслано от Stacy Fidelina

Приветы!
Пытаюсь выдать пользователю доступ до неймспейчас на просмотр

---
apiVersion: authorization.openshift.io/v1
kind: Role
metadata:
  name: ahub-view
  namespace: laboratory
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: ahub-view
  namespace: laboratory
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: ahub-view
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: ahub
---