СЛ
Да. Обязательно подписывай CAшкой, которую пользует kube-apiserver.
спс
Size: a a a
2020 November 11
РЗ
Коллеги, а можно указать несколько ингресс классов в аннотации kubernetes.io/ingress.class?
СЛ
Ребята что не так делаю
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: test-admin
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
- nonResourceURLs: ["*"]
verbs: ["*"]
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: testadmin
namespace: kube-system
subjects:
- kind: User
name: testadmin
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: test-admin
apiGroup: rbac.authorization.k8s.io
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: test-admin
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
- nonResourceURLs: ["*"]
verbs: ["*"]
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: testadmin
namespace: kube-system
subjects:
- kind: User
name: testadmin
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: test-admin
apiGroup: rbac.authorization.k8s.io
testadmin@test-k8s-1 ~ $ kubectl get pod -A
Error from server (Forbidden): pods is forbidden: User "testadmin" cannot list resource "pods" in API group "" at the cluster scope
РЗ
Апи группу надо наверное "", а не "*"
РЗ
Апи группу надо наверное "", а не "*"
А, не. Не туда посмотрел.
СЛ
Коллеги, а можно указать несколько ингресс классов в аннотации kubernetes.io/ingress.class?
Ты типо хочешь
kubernetes.io/ingress.class: nginx и ччерез запятую еще что то написать ?
kubernetes.io/ingress.class: nginx и ччерез запятую еще что то написать ?
DS
Сергей Ладутько
Всем привет ребята
openssl req -new -key jean.key \
-out jean.csr \
-subj "/CN=jean/O=$group"
Вот это создает юзера + группу ?
openssl req -new -key jean.key \
-out jean.csr \
-subj "/CN=jean/O=$group"
Вот это создает юзера + группу ?
только там нет возможности отозвать сертификат. Поэтому придется перегенировать серты apiserver'а, если такой вот ключ будет скомпрометирован или ты захочешь закрыть доступ юзеру
РЗ
Сергей Ладутько
Ты типо хочешь
kubernetes.io/ingress.class: nginx и ччерез запятую еще что то написать ?
kubernetes.io/ingress.class: nginx и ччерез запятую еще что то написать ?
У меня два контроллера. Я хочу, чтоб и тот, и другой с этим ингрессом заработали. Вот мне и интересно, как. Две через запятую или две аннотации (что вряд ли).
GG
Сергей Ладутько
Ребята что не так делаю
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: test-admin
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
- nonResourceURLs: ["*"]
verbs: ["*"]
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: testadmin
namespace: kube-system
subjects:
- kind: User
name: testadmin
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: test-admin
apiGroup: rbac.authorization.k8s.io
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: test-admin
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
- nonResourceURLs: ["*"]
verbs: ["*"]
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: testadmin
namespace: kube-system
subjects:
- kind: User
name: testadmin
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: test-admin
apiGroup: rbac.authorization.k8s.io
testadmin@test-k8s-1 ~ $ kubectl get pod -A
Error from server (Forbidden): pods is forbidden: User "testadmin" cannot list resource "pods" in API group "" at the cluster scope
почему не ClusterRoleBinding?
GG
есть kind:RoleBinding и kind:ClusterRoleBinding
СЛ
почему не ClusterRoleBinding?
спс
GG
Сергей Ладутько
спс
да пока не за что
AT
1.8.0 is the output, is it good?
СЛ
только там нет возможности отозвать сертификат. Поэтому придется перегенировать серты apiserver'а, если такой вот ключ будет скомпрометирован или ты захочешь закрыть доступ юзеру
А как лучше создовать и добавлять юзеров ?У меня api на ружу не смотрит у меня как только кто то уйдет ssh удалится(я такую логику закладывал )
d
привет, а кто-нибудь сталкивался с тем, что после установки кафки через bitnami helm chart под был в состоянии pending? сделал describe, мне выдало, что pod has unbound PersistentVolumeClaims. Разве в Чарте не заложены эти настройки для Persistent Volume?
k
привет, а кто-нибудь сталкивался с тем, что после установки кафки через bitnami helm chart под был в состоянии pending? сделал describe, мне выдало, что pod has unbound PersistentVolumeClaims. Разве в Чарте не заложены эти настройки для Persistent Volume?
kubectl get pvc
d
kubectl get pvc
k
как видишь они unbound
d
как видишь они unbound
вижу, поэтому и странно что в чарте все это не заложено
k
вижу, поэтому и странно что в чарте все это не заложено
ну как бы pvc - это та самая грань где универсальность куба заканчивается и начинается environment specific