AS
и инит контейнеры все тоже не под рутом ?
Size: a a a
2020 December 02
DS
и контролплейн тоже ?
нет. control plane не считаю нужным делать рутлес. Если я не могу доверять контролплейну, то я не буду доверять всему кластеру, на зависимо от того, запускается он от рута или от пользователя.
DS
и инит контейнеры все тоже не под рутом ?
psp для всех контейнеров переопределяет юзера, разницы нет, initcontainer это или нет
V
а альтернативный servicename kubernetes.default.svc можно создать? или сервис ведущий на этот сервис может
создал сервис и endpoint но не отзывается из пода
создал сервис и endpoint но не отзывается из пода
ИК
а альтернативный servicename kubernetes.default.svc можно создать? или сервис ведущий на этот сервис может
создал сервис и endpoint но не отзывается из пода
создал сервис и endpoint но не отзывается из пода
можно через ExternalName сделать
DS
ну под рутом работать и зачем, если осовная фишка тут быть рутлесс?)
а рутлес на стороне докера ксстати очень давно есть https://docs.docker.com/engine/security/userns-remap/.
V
можно через ExternalName сделать
а что ему в качестве имени задать, kubernetes.default.svc ?
ругается что хост моего нового сервиса не найден
ругается что хост моего нового сервиса не найден
ИК
а рутлес на стороне докера ксстати очень давно есть https://docs.docker.com/engine/security/userns-remap/.
это не рутлесс, там докерд от рута запущен
вот рутлесс https://docs.docker.com/engine/security/rootless/
вот рутлесс https://docs.docker.com/engine/security/rootless/
DS
это не рутлесс, там докерд от рута запущен
вот рутлесс https://docs.docker.com/engine/security/rootless/
вот рутлесс https://docs.docker.com/engine/security/rootless/
так задача же не сам cri запустить от юзера, а сделать так, чтобы оно контейнеры не давало от рута запускать
ИК
так задача же не сам cri запустить от юзера, а сделать так, чтобы оно контейнеры не давало от рута запускать
у PSP да, но речь шла о том, что нужен slirp4netns, а он нужен конкретно для полного рутлесса
ИК
тут еще путаница в терминах, конечно
AS
psp для всех контейнеров переопределяет юзера, разницы нет, initcontainer это или нет
ну и половина отвалится сразу, потому что персистент волумы так работать не будут во многих провайдерах
ИК
а что ему в качестве имени задать, kubernetes.default.svc ?
ругается что хост моего нового сервиса не найден
ругается что хост моего нового сервиса не найден
полное имя, kubernetes.default.svc.cluster.local (это по умолчанию)
AS
то есть конейнер тупо не стартанет и инит, который там далет чаун соснет, если он не под рутом
AS
и таких мелочей овердофига )
DS
ну и половина отвалится сразу, потому что персистент волумы так работать не будут во многих провайдерах
там в psp есть fsGroup.
Я никогда не юзал кластер без включенного psp. Жив брат =)
Я никогда не юзал кластер без включенного psp. Жив брат =)
DS
ну и половина отвалится сразу, потому что персистент волумы так работать не будут во многих провайдерах
с ремапом юзеров на уровне cri, не решит же проблему. Там uid'ы будут 65535+.
Или там не так это будет работать?
Или там не так это будет работать?
AS
там подъедут патчи в CSI
AS
потому что эти чуваки не парятся многие до сих пор )