В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Kubernetes — русскоговорящее сообщество

5538 membersпожаловаться на группу
2020 November 24

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Nicolae
Господа, задался сегодня вопросом. Если приложение-контейнер в namespace default было взломано, имеет ли оно больше доступа к secrets других приложений из того же namespace, чем secrets из других namespace?
зависит от serviceAccount и его прав. По умолчанию лучше вообще отключить моунт секретов от него в pod.
источник
19:31пожаловаться#1

SW

Smith Wesson in Kubernetes — русскоговорящее сообщество
@troyashka ага, было письмо, ссылку внизу спрятали после инфы про KubeCon
источник
19:32пожаловаться#2

A

Aleksei in Kubernetes — русскоговорящее сообщество
Solyar
А зачем такая конструкция?
Типа рандомное приложение
источник
19:32пожаловаться#3

S

Solyar in Kubernetes — русскоговорящее сообщество
Aleksei
Типа рандомное приложение
Не совсем понял смысл этого
источник
19:32пожаловаться#4

S

Solyar in Kubernetes — русскоговорящее сообщество
Можно сделать на всех приложениях одинаковые лейблы и заставить сервис смотреть на них
источник
19:33пожаловаться#5

S

Solyar in Kubernetes — русскоговорящее сообщество
Будет ровно тоже самое что вы хотите
источник
19:33пожаловаться#6

A

Aleksei in Kubernetes — русскоговорящее сообщество
Solyar
Можно сделать на всех приложениях одинаковые лейблы и заставить сервис смотреть на них
Ну да в принципе
источник
19:35пожаловаться#7

N

Nicolae in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
зависит от serviceAccount и его прав. По умолчанию лучше вообще отключить моунт секретов от него в pod.
для каждого приложения свой serviceAccount вроде. Но если взломают один под с serviceAccount который может делать моунт секретов, он сможет замоунтить любой секрет из namespace?
источник
19:38пожаловаться#8

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Nicolae
для каждого приложения свой serviceAccount вроде. Но если взломают один под с serviceAccount который может делать моунт секретов, он сможет замоунтить любой секрет из namespace?
так не монтируй токен от serviceAccount  в под, и не будет никаких никуда доступов
источник
19:42пожаловаться#9

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Nicolae
для каждого приложения свой serviceAccount вроде. Но если взломают один под с serviceAccount который может делать моунт секретов, он сможет замоунтить любой секрет из namespace?
если таки нужен токен serviceAccount в поде, то давай ему минимально необходимые права
источник
19:43пожаловаться#10

N

Nicolae in Kubernetes — русскоговорящее сообщество
@solard @identw благодарю. Пойду курить подробности по serviceAccount
источник
19:46пожаловаться#11

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Nicolae
@solard @identw благодарю. Пойду курить подробности по serviceAccount
тебе надо курить про RBAC еще
источник
20:09пожаловаться#12

N

Nicolae in Kubernetes — русскоговорящее сообщество
С этим хорошо знаком
источник
20:11пожаловаться#13

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Nicolae
С этим хорошо знаком
тогда странные вопросы про доступ к секретам от serviceAccount, это через RBAC рулится
источник
20:41пожаловаться#14

SM

Sergei Mikhaltsov in Kubernetes — русскоговорящее сообщество
братва, после сетевого лага теряется апишка, и кублет на ноде потом не могет достучаться до апишки (хожу через локальный nginx).
read tcp 127.0.0.1:33790->127.0.0.1:6443: use of closed network connection   Вообще, кублет ломится по уже закрытому сокету. Есть чего покрутить в кублете, шоп новый коннект открывал?
источник
21:02пожаловаться#15

AK

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество
Sergei Mikhaltsov
братва, после сетевого лага теряется апишка, и кублет на ноде потом не могет достучаться до апишки (хожу через локальный nginx).
read tcp 127.0.0.1:33790->127.0.0.1:6443: use of closed network connection   Вообще, кублет ломится по уже закрытому сокету. Есть чего покрутить в кублете, шоп новый коннект открывал?
Баг в HTTP/2 клиенте Go. Пофиксили в последнем релизе. Можешь собрать с ним kubelet.
источник
21:07пожаловаться#16

SM

Sergei Mikhaltsov in Kubernetes — русскоговорящее сообщество
д, нагуглил уже. Ну это прям такое
источник
21:08пожаловаться#17

AK

Andrey Klimentyev in Kubernetes — русскоговорящее сообщество
Подождать релиза куба, когда с новым собирать будут.
источник
21:08пожаловаться#18

SM

Sergei Mikhaltsov in Kubernetes — русскоговорящее сообщество
а ссыль на патч есть?
источник
21:10пожаловаться#19

V

Vadim in Kubernetes — русскоговорящее сообщество
Постоянно мучаемся с этим гавном
источник
21:16пожаловаться#20