В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

AWS_RU

1660 membersпожаловаться на группу
2020 July 21

ZB

Zakhar Bessarab in AWS_RU
inqfen
Это какой из? Там auth для нод есть
который вот этот - https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html
Amazon
Managing users or IAM roles for your cluster - Amazon EKS
The aws-auth ConfigMap is applied as part of the guide which provides a complete end-to-end walkthrough from creating an Amazon EKS cluster to deploying a sample Kubernetes application. It is initially created to allow your worker nodes to join your cluster, but you also use this ConfigMap to add RBAC access to IAM users and roles. If you have not launched worker nodes and applied the
источник
10:54пожаловаться#1

i

inqfen in AWS_RU
L K
IAM снова упал ? CloudFormation не может создать IAM ресурсы в 2 регионах, в IN_PROGRESS висит 20 минут

aws status ничего не говорит
eu-west-2 и us-east-1 все норм
источник
10:55пожаловаться#2

i

inqfen in AWS_RU
Zakhar Bessarab
который вот этот - https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html
Amazon
Managing users or IAM roles for your cluster - Amazon EKS
The aws-auth ConfigMap is applied as part of the guide which provides a complete end-to-end walkthrough from creating an Amazon EKS cluster to deploying a sample Kubernetes application. It is initially created to allow your worker nodes to join your cluster, but you also use this ConfigMap to add RBAC access to IAM users and roles. If you have not launched worker nodes and applied the
Так там у меня только iam роль нод
источник
10:56пожаловаться#3

i

inqfen in AWS_RU
И первого-то юзера нет
источник
10:56пожаловаться#4

i

inqfen in AWS_RU
Но он работает
источник
10:56пожаловаться#5

ZB

Zakhar Bessarab in AWS_RU
O-o
а у него не накинута случаем роль от ноды?
по идее если бы его или его ролей тут не было - он бы никак не получал доступ к кластеру т.к. маппинга нет, даже с AdministratorAccess
источник
10:58пожаловаться#6

i

inqfen in AWS_RU
data:
  mapRoles: |
    - rolearn: arn:aws:iam::number:role/mss-cluster-workers
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
kind: ConfigMap
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"mapRoles":"- rolearn: arn:aws:iam::number:role/mss-cluster-workers\n  username: system:node:{{EC2PrivateDNSName}}\n  groups:\n    - system:bootstrappers\n    - system:nodes\n"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"aws-auth","namespace":"kube-system"}}
  creationTimestamp: null
  name: aws-auth
  selfLink: /api/v1/namespaces/kube-system/configmaps/aws-auth
источник
10:58пожаловаться#7

i

inqfen in AWS_RU
Zakhar Bessarab
O-o
а у него не накинута случаем роль от ноды?
по идее если бы его или его ролей тут не было - он бы никак не получал доступ к кластеру т.к. маппинга нет, даже с AdministratorAccess
Неа, оба только в группе администраторов встроенной и все
источник
10:58пожаловаться#8

i

inqfen in AWS_RU
Но, от первого кластер и создавался
источник
10:59пожаловаться#9

i

inqfen in AWS_RU
Может он где-то под капотом мапится в админы автоматом
источник
10:59пожаловаться#10

ZB

Zakhar Bessarab in AWS_RU
inqfen
Но, от первого кластер и создавался
возможно у него остался сохранен kubeconfig auth без iam?
источник
10:59пожаловаться#11

i

inqfen in AWS_RU
Zakhar Bessarab
возможно у него остался сохранен kubeconfig auth без iam?
Я через tf, без кубконфига работает
источник
10:59пожаловаться#12

i

inqfen in AWS_RU
Точнее он каждый раз генерится
источник
10:59пожаловаться#13

i

inqfen in AWS_RU
Да и удалял кубконфиг уже не раз и через aws eks update-kubeconfig получал
источник
11:00пожаловаться#14

i

inqfen in AWS_RU
Так что точно с iam
источник
11:00пожаловаться#15

DZ

Dmytro Zavalkin in AWS_RU
inqfen
Как так-то, права же одинаковые
там же у них мутная схема - того юзера что создал EKS кластер будет пускать в кубапи даже если похерить права в кубовом rbac
источник
11:00пожаловаться#16

DZ

Dmytro Zavalkin in AWS_RU
видимо защита от дурака - чтобы редактируя конфигмапу коряво не потерять доступ, но в итоге получается неочевидно (но в доке об этом написано)
источник
11:02пожаловаться#17

ZB

Zakhar Bessarab in AWS_RU
Dmytro Zavalkin
видимо защита от дурака - чтобы редактируя конфигмапу коряво не потерять доступ, но в итоге получается неочевидно (но в доке об этом написано)
а можете ссылкой бросить?
предупредить выстрелы в ногу себе же на будущее :)
источник
11:03пожаловаться#18

i

inqfen in AWS_RU
Dmytro Zavalkin
там же у них мутная схема - того юзера что создал EKS кластер будет пускать в кубапи даже если похерить права в кубовом rbac
О, спасибо, а я сижу втыкаю как так-то
источник
11:03пожаловаться#19

i

inqfen in AWS_RU
Ага, было бы неплохо, я вроде тоже по EKS все там прочитал но этого не заметил
источник
11:03пожаловаться#20