MF
ну хельм2 тоже ходит в кластер с использованием этого конфига
Size: a a a
2020 February 07
MF
но вот как использовать сервис-аккаунт снаружи - загадка для меня
MF
ну то есть не то чтобы загадка, конечно, можно каждый раз из sa-related секрета тырить токен
но почему не сделать просто роли и биндинги для юзеров и групп - не понятно
но почему не сделать просто роли и биндинги для юзеров и групп - не понятно
G
kubernetes-incubator/cri-o tagged: v1.17.0
Link: https://github.com/cri-o/cri-o/releases/tag/v1.17.0
Release notes:
Link: https://github.com/cri-o/cri-o/releases/tag/v1.17.0
Release notes:
CRI-O 1.17.0More
Welcome to the v1.17.0 release of CRI-O!
### Major Changes
The major user facing changes are:
* It is recommended to set `manage_ns_lifecycle = true` in `crio.conf`
Add support for drop-in configuration files
* In addition to...
MF
Да на самом то деле, мне большой разницы нет. Аккаунт человеческий это или же сервисный. Важна сама суть ограничения прав на деплой и хранение этих кредов в конфиге. Чтобы хельм мог деплоить используя их
ну так в общем виде ты делаешь, к примеру, три кластерроли: девелопер, опс и тестер
в них описываешь права на ресурсы для заданных групп
в целевых неймспейсах делаешь ролебиндинги (НЕ кластерролебиндинги!) типа такого:
ну и ползателей хельма рассовываешь по нужным группам, используя имеющийся там у тебя механизм аутентификации
в них описываешь права на ресурсы для заданных групп
в целевых неймспейсах делаешь ролебиндинги (НЕ кластерролебиндинги!) типа такого:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: developer
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: developer
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: developer
ну и ползателей хельма рассовываешь по нужным группам, используя имеющийся там у тебя механизм аутентификации
A
Забудьте про хельм 2
N
ну так в общем виде ты делаешь, к примеру, три кластерроли: девелопер, опс и тестер
в них описываешь права на ресурсы для заданных групп
в целевых неймспейсах делаешь ролебиндинги (НЕ кластерролебиндинги!) типа такого:
ну и ползателей хельма рассовываешь по нужным группам, используя имеющийся там у тебя механизм аутентификации
в них описываешь права на ресурсы для заданных групп
в целевых неймспейсах делаешь ролебиндинги (НЕ кластерролебиндинги!) типа такого:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: developer
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: developer
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: developer
ну и ползателей хельма рассовываешь по нужным группам, используя имеющийся там у тебя механизм аутентификации
Максим, спасибо большое за ответы, но остается не ясным: как получить конфиг. Физический файл, который можно зашифровать и таскать в любую автоматизацию. И уже сказать kubectl или хельму: авторизуйся и сделай это использую этот файл.. Кстати, а как вы деплоите? И вообще хельмом ли?
MF
Максим, спасибо большое за ответы, но остается не ясным: как получить конфиг. Физический файл, который можно зашифровать и таскать в любую автоматизацию. И уже сказать kubectl или хельму: авторизуйся и сделай это использую этот файл.. Кстати, а как вы деплоите? И вообще хельмом ли?
в каком смысле - как получить?
у тебя же уже есть какой-то, с которым ты в кластер кубецтлем ходишь
его и бери
суй туда нужные явки/пароли для разных юзеров, а остальное оставляй как есть
у тебя же уже есть какой-то, с которым ты в кластер кубецтлем ходишь
его и бери
суй туда нужные явки/пароли для разных юзеров, а остальное оставляй как есть
MF
$ kubectl config set-cluster nikita --certificate-authority=ca.pem --server=https://<nikita>[:port] --embed-certs
$ kubectl config set-credentials nikita --username=nikita --client-key=key.pem --client-certificate=cert.pem --embed-certs
$ kubectl config set-context nikita --cluster=nikita --user=nikita
$ kubectl config use-context nikita
MF
@nikitossh например вот так ^^^
N
@nikitossh например вот так ^^^
Спасибо! Теперь надо осмыслить суть и сделать это
2020 February 10
G
projectcalico/calico description changed: v3.12.0
Link: https://github.com/projectcalico/calico/releases/tag/v3.12.0
Release notes:
Link: https://github.com/projectcalico/calico/releases/tag/v3.12.0
Release notes:
Release notes can be found at [https://docs.projectcalico.org/v3.12/release-notes/](https://docs.projectcalico.org/v3.12/release-notes/)
G
kubernetes-incubator/cri-o description changed: v1.17.0
Link: https://github.com/cri-o/cri-o/releases/tag/v1.17.0
Release notes:
Link: https://github.com/cri-o/cri-o/releases/tag/v1.17.0
Release notes:
CRI-O 1.17.0More
Welcome to the v1.17.0 release of CRI-O!
### Major Changes
The major user facing changes are:
* It is recommended to set `manage_ns_lifecycle = true` in `crio.conf`
Add support for drop-in configuration files
* In addition to...
G
containernetworking/cni description changed: v0.7.1
Link: https://github.com/containernetworking/cni/releases/tag/v0.7.1
Release notes:
Link: https://github.com/containernetworking/cni/releases/tag/v0.7.1
Release notes:
The 0.7.1 CNI release includes minor bug fixes to v0.7.0.More
**We do not release binaries here:** this repo holds the Specification and Go Library for CNI, and the plugins moved to [https://github.com/containernetworking/plugins](https://github.com/con...
G
kubernetes-incubator/cri-o description changed: v1.17.0
Link: https://github.com/cri-o/cri-o/releases/tag/v1.17.0
Release notes:
Link: https://github.com/cri-o/cri-o/releases/tag/v1.17.0
Release notes:
CRI-O 1.17.0More
Welcome to the v1.17.0 release of CRI-O!
### Major Changes
The major user facing changes are:
* It is recommended to set `manage_ns_lifecycle = true` in `crio.conf`
Add support for drop-in configuration files
* In addition to...
G
containers/libpod tagged: v1.6.5
Link: https://github.com/containers/libpod/releases/tag/v1.6.5
Release notes:
Link: https://github.com/containers/libpod/releases/tag/v1.6.5
Release notes:
v1.6.5
G
kubernetes-incubator/cri-o tagged: v1.13.12
Link: https://github.com/cri-o/cri-o/releases/tag/v1.13.12
Release notes:
Link: https://github.com/cri-o/cri-o/releases/tag/v1.13.12
Release notes:
CRI-O 1.13.12More
Welcome to the v1.13.12 release of CRI-O!
Please try out the release binaries and report any issues at
[https://github.com/cri-o/cri-o/issues](https://github.com/cri-o/cri-o/issues).
### Contributors
* Urvashi Mohnani
* Danie...
N
