h
прикрывать iptables мне не нравится, опасно. TLS хорошее решение, блин но почему я должен влепить айпи в сертификат?
Size: a a a
2020 February 09
h
Продукт без прода здесь. В стадии разработки.
h
или я не туда смотрю? все гиды по TLS говорят указать ALLOWED IP RANGE
GG
Товарищи, а как через TLS дать доступ к docker daemon API, не указывая IP range разрешенных коннектов?
Запроксировать энжинксом?
GG
У меня на голом железе разворачиваются энвы. Дожал все куски продукта - декларатив деплой теперь. Не ставить же к8с одно-нодовый.. Сейчас деплой = раннер делает ssh, закидывает компоуз, down —remove-orphans, up -d
Не нужен компоуз )
GG
Ты можешь его не закидывать и жизнь будет сильно проще
GG
Или ты хочешь к удалённому демону по сети коннектить ?
GG
У меня на голом железе разворачиваются энвы. Дожал все куски продукта - декларатив деплой теперь. Не ставить же к8с одно-нодовый.. Сейчас деплой = раннер делает ssh, закидывает компоуз, down —remove-orphans, up -d
Лайфхак
GG
Ссш туннель + socat и тебе не надо светить докер демон сокет на сеть
h
Ну хотелось как а кубике... Через api
h
TLS норм идея. Мне не нравится ip range.
h
Ссш туннель + socat и тебе не надо светить докер демон сокет на сеть
Чем это отличается от того что сейчас у меня?
GG
TLS норм идея. Мне не нравится ip range.
Дай ссылку на доку
GG
Чем это отличается от того что сейчас у меня?
Безопаснее?
h
Сейчас раннер через SSH ключик из cicd variable попадает на удалённую машину. Ссш тунель те же яца только в профиль
GG
Там в доке слова range нет
GG
Давай с самого начала
GG
Просто опубликовать докер в сеть и закрыть тлс - это не решает проблему ограничения доступа к докер демону
GG
Решение из статьи - клиентские сертификаты