В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Kubernetes — русскоговорящее сообщество

5529 membersпожаловаться на группу
2020 October 28

k

kvaps in Kubernetes — русскоговорящее сообщество
Let Eat Bee
читаю https://kubernetes.io/docs/tasks/extend-kubernetes/setup-konnectivity/ и не понимаю что это. это какая-то штука для перенаправления доступа? компоненты кластера знают об этой CRD и если там сказано "доступ к мастеру через этот сокет", то вместо хождения напрямую идут в сокет?
Kubernetes
Set up Konnectivity service
The Konnectivity service provides a TCP level proxy for the control plane to cluster communication.
Before you begin You need to have a Kubernetes cluster, and the kubectl command-line tool must be configured to communicate with your cluster. If you do not already have a cluster, you can create one by using minikube or you can use one of these Kubernetes playgrounds:
Katacoda Play with Kubernetes  Configure the Konnectivity service The following steps require an egress configuration, for example:
Но ты правильно механизм описал, только это не CRD а конфиг для apiserver'а
источник
18:02пожаловаться#1

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Kirill Garbar
Ааа. Ну мне тоже многое не нравится, поэтому едем в EKS.
Но тем не менее вопрос остаётся открытым. Либо везде в образах переписывать юзера на номер. Либо делать что-то другое.
Прописывать в подах securityContext.
Admission Controller из опеншифта как-то нету в простом варианте.

Как вообще люди делают?
а че ты просто доку по psp не прочитаешь? В openshift тот же самый psp используется
источник
18:02пожаловаться#2

KG

Kirill Garbar in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
а че ты просто доку по psp не прочитаешь? В openshift тот же самый psp используется
В Опеншифт используется admission controller, который сам переписывает user id.
источник
18:03пожаловаться#3

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Kirill Garbar
Т.е. ты прописываешь securityContext для приложений и норм?
Спасибо.
нет, я там ничего обычно не прописываю. Я на уровне psp это делаю. И применяю для всего namespace например
источник
18:03пожаловаться#4

k

kvaps in Kubernetes — русскоговорящее сообщество
Можно попробовать использовать его отдельно для доступа к apiserver
источник
18:03пожаловаться#5

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Kirill Garbar
В Опеншифт используется admission controller, который сам переписывает user id.
а зачем? Когда psp это делает из коробки?
источник
18:04пожаловаться#6

k

kvaps in Kubernetes — русскоговорящее сообщество
Михаил SinTeZoiD
А у тебя в проде init куб - kubeadm?
Да, kubeadm + конфиг по официальной доке, так проще поддерживать
источник
18:04пожаловаться#7

МS

Михаил SinTeZoiD... in Kubernetes — русскоговорящее сообщество
kvaps
Да, kubeadm + конфиг по официальной доке, так проще поддерживать
Проще в чём?
источник
18:05пожаловаться#8

k

kvaps in Kubernetes — русскоговорящее сообщество
Михаил SinTeZoiD
Проще в чём?
В поддержке же, как факт у нас почти всегда последняя upstream версия куба в кластере
источник
18:05пожаловаться#9

k

kvaps in Kubernetes — русскоговорящее сообщество
Я бы сказал что kubeadm почти по хардвэю сделан, каждую стадию можно легко повторить и привести сетап к нужному состоянию
источник
18:06пожаловаться#10

МS

Михаил SinTeZoiD... in Kubernetes — русскоговорящее сообщество
kvaps
Я бы сказал что kubeadm почти по хардвэю сделан, каждую стадию можно легко повторить и привести сетап к нужному состоянию
С каких пор это стеклянное поделие пришло к хардвею?
источник
18:08пожаловаться#11

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Kirill Garbar
Если в образе указан USER kong, то куб не может его определить как nonroot.
Именные юзеры используются часто в opensource образах.

Меня интересует как так? Неужели все переписывают юзеров? Как поступают другие?
Если в образе указан USER kong. То ты в кубе через psp можешь принудительно задать любой другой uid, и для этого даже не надо securityContext добавлять в спеку пода, но можно и через нее сделать тоже
источник
18:08пожаловаться#12

KG

Kirill Garbar in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
Если в образе указан USER kong. То ты в кубе через psp можешь принудительно задать любой другой uid, и для этого даже не надо securityContext добавлять в спеку пода, но можно и через нее сделать тоже
Спасибо. Видимо я в глаза долбился, если это так.
Пошёл читать внимательнее
источник
18:08пожаловаться#13

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Kirill Garbar
Спасибо. Видимо я в глаза долбился, если это так.
Пошёл читать внимательнее
ну я так делаю, я тебе пример выше спеки psp дал.
источник
18:08пожаловаться#14

k

kvaps in Kubernetes — русскоговорящее сообщество
Михаил SinTeZoiD
С каких пор это стеклянное поделие пришло к хардвею?
Ака ты можешь в любой момент перегенирить серты или сгенерить нужные статикподы
источник
18:08пожаловаться#15

k

kvaps in Kubernetes — русскоговорящее сообщество
Сгенерить конфиг для кубулета, и т.п.
источник
18:09пожаловаться#16

k

kvaps in Kubernetes — русскоговорящее сообщество
Михаил SinTeZoiD
С каких пор это стеклянное поделие пришло к хардвею?
Думаю что я могу смело сказать об этом, когда в доке появилось чёткое упоминание того что он в итоге делает

https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm-init/#synopsis
Kubernetes
kubeadm init
This command initializes a Kubernetes control-plane node.
Synopsis Run this command in order to set up the Kubernetes control plane
The "init" command executes the following phases:
preflight Run pre-flight checks certs Certificate generation /ca Generate the self-signed Kubernetes CA to provision identities for other Kubernetes components /apiserver Generate the certificate for serving the Kubernetes API /apiserver-kubelet-client Generate the certificate for the API server to connect to kubelet /front-proxy-ca Generate the self-signed CA to provision identities for front proxy /front-proxy-client Generate the certificate for the front proxy client /etcd-ca Generate the self-signed CA to provision identities for etcd /etcd-server Generate the certificate for serving etcd /etcd-peer Generate the certificate for etcd nodes to communicate with each other /etcd-healthcheck-client Generate the certificate for liveness probes to healthcheck etcd /apiserver-etcd-client Generate the certificate the apiserver uses to…
источник
18:10пожаловаться#17

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Михаил SinTeZoiD
С каких пор это стеклянное поделие пришло к хардвею?
ну он довольно понятно поднимает кластер, меньше всего магии. kubelet - в systemd сервисах на нодах, control-plain в статик подах, coredns, kube-proxy - daemonset'ы.  Все фазы расписаны в доках.
Можно сказать автоматизированный и прозрачный hard-way. Поверх него можно строить свою автоматизацию.
источник
18:14пожаловаться#18

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Вот конфиг бы еще в stable перевели, и документировали нормально, а то запаришься структуры golang читать
источник
18:15пожаловаться#19

k

kvaps in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
Вот конфиг бы еще в stable перевели, и документировали нормально, а то запаришься структуры golang читать
+
источник
18:18пожаловаться#20