D🦆
Понятно, так не выйдет - серт на определенные IP и домены.
Size: a a a
2021 April 11
S
конечно. Ты в целом можешь это изменить:
S
S
но вообще лучше так не делать и кластер апи наружу не высовывать.
D🦆
Спасибо, он по дефолту высунут.
А можно как-то указать kubectl, чтобы он ssh на нужный сервер делал?
А можно как-то указать kubectl, чтобы он ssh на нужный сервер делал?
S
не очень понял твой вопрос. Ты хочешь port-forward?
D🦆
ssh-туннель скорее
S
а причем тут ssh-тунель и kubectl?)
S
kubectl - тулза, которая ходит в апи куба.
D🦆
Ну по аналогии с графическими клиентами СУБД для разработчиков: оно ходит по своему протоколу, но во всех гуёвых прогах есть возможность использовать ssh-туннель
S
ты хочешь пускать разрабов в контейнеры подов?
S
я не понимаю какую задачу ты решаешь)
D🦆
Я пожалуй не так мысль сформулировал.
Хочу ходить извне. Но чтобы кластер извне не был доступен.
Соответственно есть ли возможность настроить kubectl ходить через ssh-туннель?
Хочу ходить извне. Но чтобы кластер извне не был доступен.
Соответственно есть ли возможность настроить kubectl ходить через ssh-туннель?
S
ну вообще это извращение на мой взгляд, но в целом, ты можешь сделать под, к нему прикрутить сервис с типом LB(чтобы статик ип был) на этот айпи сделать DNAT и юзать, но это прям мега извращение.
D🦆
Звучит как извращение, да)
S
сделай проще. Сгенери куб контекст в ручную, зацепи его за пользователем, нацепи на юзера RBAC(Role+rolebinding если нужен 1 неймспейс) и юзать спокойно.
D🦆
Перегенерация сертификата с добавлением внешнего IP решила вопрос с доступом с левой машины
S
ну дык конечно)
S
у тебя теперь кубапи тебя знает, еще бы оно не решило
S
главное серты не удаляй как там написано, а храни рядом, чтобы в случае чего вернуть как было.