Да чтобы данные гонять 🙂 сеф там, htcondor, все дела

/help@JohnRoebot

См. личные сообщения

Рекламу как проснетесь удалите

прикол, 20к подписчиков

лох не мамонт

а без cni поднимается?

Если правильно понял тебя ты используешь bank-vaults-webhook и хочешь что бы vault-env общался с волтом по https?

В vault-env по умолчанию передается перменная VAULT_SKIP_VERIFY="false"
При помощи аннотации

vault.security.banzaicloud.io/vault-tls-secret

ты можешь передать имя CA certificate секрета, которым подписаны серты для волта

Ну и естественно указываешь через переменную

VAULT_ADDR

или аннотацию

vault.security.banzaicloud.io/vault-addr

путь до волта  через https

Без CNI да, в зависимости от расстояния 60G-95G

всем привет. если вы вдруг используете kyverno для замены psp, поделитесь плиз, как решаете вопрос с тем, что kyverno от слова совсем игнорирует replicaset, что позволяет создавать поды, прошедшие мимо проверок?
фильтры  в конфиге я уже убрал, но запускаю replicaset с hostpath, который не должен запускаться и получаю праздник под названием «я знаю, что у тебя хосте, я могу заглянуть в твой etcd без регистрации и смс»
OPA пока не предлагать, это крайний вариант

Не поможет. Любое туннелирование будет отъедать

Ну, используй cilium без оверлей сети, с bgp для дистрибуции route. Хотя нет, придётся, наверное, kube-router ещё тащить

Ну, или калику- она вроде тоже умеет так

Да быть того не может !

Яб тюнил, убралбы геокластер и поставил бы для кластера впн шлюзы, не использовал бы сервис нетворк.  у тебя через интерент пердача данных?

+++

в конфигах по дефолту ресурсы replicaset игнорятся и плюс
https://github.com/kyverno/kyverno/wiki/Auto-generating-rule-for-pod-controllers

А ты репликасеты руками создаёшь ?

да, нашел манифесты с «плохими» подами и вот создаю/тестирую

При этом создание подов напрямую или через деплоймент - ок?