G
оппа, я отгадал
Size: a a a
2020 October 18
VV
ну. может он возник для теста, а превратился в прод)
:)))))
TL
Чем он плох? Вон эти муравьи вроде норм
Код в наш гит не кладут, собирают артифакты где-то у себя, на своей инфре,не могут даже подключить корпоративные сертификаты... короч боль
TL
Про муравьёв хз, с ними не работал, может они и могут помочь
SM
Код в наш гит не кладут, собирают артифакты где-то у себя, на своей инфре,не могут даже подключить корпоративные сертификаты... короч боль
Это кто такие? В бан лист на будущее запишу
G
судя по всему, это собирательный образ из опыта)
TL
Хм. Я бы не стал разбрасываться публично обвинениями. Могу в личку. И раз уж пошли имена, то сразу оговорюсь, что это зависит от конкретных инженеров, которые предоставлены этим подрядчиком. От этой же конторы к нам в одну из продуктовых команд пришёл вполне себе грамотный разраб тимлидом.
TL
Но в большинстве мой опыт работы с ними был негативный.
DS
Я тут начал смотреть, на фоне этой проблемы у человека, как все таки kubelet может делать list nodes.
kubelet имеет группу system:nodes, и user system:nodes:hostname. И на них в rbac забиндины только clusterrole:
И ни одна из этих ролей не имеют прва на list nodes.
При этом есть clusterrole: system:node, и она имеет права это делать. Но она вообще никак не забиндена на system:nodes группу.
Вобщем окозалось что дает права отдельный плагин, который влючается через флаг kube-apiserver (
А clusterrole system:node - которая никуда не забиндена, осталась для обратной совместимости, так как раньше это делалось через RBAC.
Прикольно =)
kubelet имеет группу system:nodes, и user system:nodes:hostname. И на них в rbac забиндины только clusterrole:
system:certificates.k8s.io:certificatesigningrequests:selfnodeclient и role: kubeadm:nodes-kubeadm-config.И ни одна из этих ролей не имеют прва на list nodes.
При этом есть clusterrole: system:node, и она имеет права это делать. Но она вообще никак не забиндена на system:nodes группу.
Вобщем окозалось что дает права отдельный плагин, который влючается через флаг kube-apiserver (
--authorization-mode=Node,RBAC) - "Node". Именно этот флаг включает права на различные операции от имени группы system:nodes, в обход RBAC. https://kubernetes.io/docs/reference/access-authn-authz/node/А clusterrole system:node - которая никуда не забиндена, осталась для обратной совместимости, так как раньше это делалось через RBAC.
Прикольно =)
TL
Я тут начал смотреть, на фоне этой проблемы у человека, как все таки kubelet может делать list nodes.
kubelet имеет группу system:nodes, и user system:nodes:hostname. И на них в rbac забиндины только clusterrole:
И ни одна из этих ролей не имеют прва на list nodes.
При этом есть clusterrole: system:node, и она имеет права это делать. Но она вообще никак не забиндена на system:nodes группу.
Вобщем окозалось что дает права отдельный плагин, который влючается через флаг kube-apiserver (
А clusterrole system:node - которая никуда не забиндена, осталась для обратной совместимости, так как раньше это делалось через RBAC.
Прикольно =)
kubelet имеет группу system:nodes, и user system:nodes:hostname. И на них в rbac забиндины только clusterrole:
system:certificates.k8s.io:certificatesigningrequests:selfnodeclient и role: kubeadm:nodes-kubeadm-config.И ни одна из этих ролей не имеют прва на list nodes.
При этом есть clusterrole: system:node, и она имеет права это делать. Но она вообще никак не забиндена на system:nodes группу.
Вобщем окозалось что дает права отдельный плагин, который влючается через флаг kube-apiserver (
--authorization-mode=Node,RBAC) - "Node". Именно этот флаг включает права на различные операции от имени группы system:nodes, в обход RBAC. https://kubernetes.io/docs/reference/access-authn-authz/node/А clusterrole system:node - которая никуда не забиндена, осталась для обратной совместимости, так как раньше это делалось через RBAC.
Прикольно =)
Жесть. Ну вот я выше про это и писал
VV
в очередной раз убеждаюсь, что каждый должен заниматься своим делом:))) и не надо экономить на специалистах.
Сообще о решении, как только получу ответ
Сообще о решении, как только получу ответ
HC
@LuckySB
нашёл ещё один бажок (либо я что-то делал не так?)
Если взять последний релиз кубспрея 2.14.1 и попробовать установить версию кубера v1.18.9, ничего не выйдет при закачке докер образа kube-apiserver, т.к. в репе есть только v1.18.6
нашёл ещё один бажок (либо я что-то делал не так?)
Если взять последний релиз кубспрея 2.14.1 и попробовать установить версию кубера v1.18.9, ничего не выйдет при закачке докер образа kube-apiserver, т.к. в репе есть только v1.18.6
HC
т.е. если поставить версию кубера v1.18.6, то всё будет качаться и ставиться
GG
Но в большинстве мой опыт работы с ними был негативный.
Не смеши
GG
Со стороны подряда работа с крупным Энтерпрайзом такая же негативная
GG
Доступы в шифт дают 1 месяц
GG
В гитлабе ограничение на размер файла
GG
Доступ через рдп через тимвьювер через впн
TL
Со стороны подряда работа с крупным Энтерпрайзом такая же негативная
Ничё не знаю, увидел, что могут, когда хотят.