GG
смотря как сделаешь :-/
Size: a a a
2021 April 11
GG
если айпитейблз или впереди какой-нибудь nginx с acl списками - чел из недоверенного диапазона айпи постучать туда не сможет
D🦆
Хм, вариант, спасибо
D🦆
А вот такой еще вопрос про
imagePullPolicy: какие лучшие практики? Nigel Poulton говорит что Always, мне кажется, что Always - это плохо и надо IfNotPresent.GG
Always надо
GG
IfNotPresent - забудь про это навсегдаD🦆
Чтобы оно при каждом апскейле реестр докера нюхать ходило? 🤔
AS
контролплейн вывесить проблемы нет, но надо кубер захарденить по максимуму, иначе сломают )
RBAC+Auth
RBAC+Auth
GG
этого недостаточно
GG
думаешь там 0day нет ?
D🦆
лишнее звено отказа
GG
кубер в целом лишнее звено отказа )
AS
а почему Always?)
D🦆
ну вот, а тут еще одно добавляется
окей, а почему?
окей, а почему?
AS
оно не так хроошо работает, как бы тебе хотелось.
GG
1. есть соображения безопасности
2. ifnotpresent - тебе нужно, получается, отказаться от latest во всех его формах и перейти на иммутабельные теги
2. ifnotpresent - тебе нужно, получается, отказаться от latest во всех его формах и перейти на иммутабельные теги
AS
например, докерхаб ссаный нарежет тебе лимитов, 100 запросов в шесть часов. и после часа работы с always у тебя все попадает
GG
иначе может случиться история, что на половине узлов у тебя докер образ старый, а на половине - с новым образом (хотя тег тот же)
GG
удачи в отладке, как говорится