172 похожих чатов

Кто нибудь знает как настроить пайплайны гитлаба к приватному кластеру

GKE? Не могу разрешить какой то рейндж адресов к мастеру, т.к. там нет адресов runner’ов, не могу понять как достучаться до кластера.

25 ответов

20 просмотров

Так ты раннер внутрь кластера поставь

https://gitlab.com/gitlab-org/cluster-integration/gitlab-agent кажись то чт о тебе надо

Anton- Автор вопроса
Andrey Kartashov
А если гитлаб тоже "приватный"?

я юзаю ZeroTier для связи между приватными сетями, вроде неплохо работает

Anton- Автор вопроса
George Gaál
Так ты раннер внутрь кластера поставь

Привет, Я тут ставил раннеры и понял, что для сборки образов мне нужно dind, а для этого надо привелегии контейнерам дать, не секъюрно получается?

Anton- Автор вопроса
noname
kaniko)

Он сам передаёт Раннеру инфу, что образ собран и потом запускается джоба на деплой?

Anton
Он сам передаёт Раннеру инфу, что образ собран и п...

если билд заканчивается успехом, как и все джобы

Anton- Автор вопроса
noname
если билд заканчивается успехом, как и все джобы

Ну то есть ранер смотрит на него каким то образом. А какие ещё вариант есть? Или это самый нормальный ?

Anton- Автор вопроса
noname
dind нормальный вариант тоже

Но там раннеры с привилегиями будут, не знаю на сколько это секъюрно

Anton
Но там раннеры с привилегиями будут, не знаю на ск...

везде только и трындят о несекьюрности привилегированных dind, но я так и не нашел ни частных случаев ни вообще в чем несекьюрность

Anton- Автор вопроса
noname
а какой вектор атаки?

Да все просто, нужно по пушу в репу билдить образ и раскатывать его в кубе, куб приватный, поэтому раннеры а него пихаю, вот и думаю как образа собирать

Anton
Да все просто, нужно по пушу в репу билдить образ ...

ну если ни у кого нет доступа на раннер и никто не закинет в репу всратый код, то все должно быть ок. Я канеш не сесурити опс)

noname
ну если ни у кого нет доступа на раннер и никто не...

еще вариант - раннеры держать на одной нодгруппе кубера, а приложения на другой. Тогда привилегированность раннера не сильно влияет на секурити (щас конечно безопасники набегут и скажут, что это все равно страшная дырень)

Vasiliy Angapov
еще вариант - раннеры держать на одной нодгруппе к...

имхо норм вариант к тому же можно технически эти группы нод в разные вланы(подсети) распихать и ваще все на файерволе порезать кроме нужных доступов куберу. (псп разные применить для продуктов что в кубере живут и для раннеров) и тп и тд - безопасность можно настроить так, что даже можно пройти pcidss с похожими кластерами (эт просто по опыту знаю) :)

Anton
У гитлаба есть

если ломанут гитлаб, будет и так худо

Anton- Автор вопроса
noname
если ломанут гитлаб, будет и так худо

ну вот и я про то же, то есть фактически пофиг на привилегии получается 🤷 а по юзабилити что лучше? просто гитлаб раннеры с динд или канико? Или что то еще есть?

Похожие вопросы

Обсуждают сегодня

а через ESC-код ?
Alexey Kulakov
29
30500 за редактор? )
Владимир
47
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
13
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Как передать управляющий символ в открытую через CreateProcess консоль? Собсна, есть процедура: procedure TRedirectThread.WriteData(Data: OEMString); var Written: Cardinal;...
Serjone
6
в JclConsole объявлено так: function CtrlHandler(CtrlType: DWORD): BOOL; stdcall; - где ваше объявление с stdcall? у вас на картинке нет stdcall
Karagy
8
Ребят в СИ можно реализовать ООП?
Николай
33
program test; {$mode delphi} procedure proc(v: int32); overload; begin end; procedure proc(v: int64); overload; begin end; var x: uint64; begin proc(x); end. Уж не знаю...
notme
6
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта