172 похожих чатов

Всем привет Дошёл наконец до задачи предоставления доступа в кластер разработчикам. Пока

сделал флоу чтобы вручную создавать csr(1 месяц), серт и выдавать его разрабу.

Через RoleBinding в неймспейсе к ClusterRole в неймспейсах с системами выдал ограниченные доступы пока только на exec и скейлинг деплоймента.

Но руководству больше нравиться веб интерфейс. В кластере есть установленный по дефолту kube dashboard.

Но чтобы у нему подключиться нужен SA, и куб-конфиг по другому надо делать. У меня пока флоу с обычными x509 сертами.

Ну т.е. от уже имеющегося флоу с x509 куб-конфиг не зайдёт, т.к. нужен токен, а токен как я понимаю может быть только у SA

В общем я пока только начал разбираться в теме RBAC поэтому много вопросов.

Кейс 1.

Оставить как есть. Пусть учаться работать с kubectl

Кейс 2.

Выкинуть kube dashboard через ингресс за vpn. Но тогда нужно будет на каждого дева делать SA с кубконфигом в котором будет токен ?
В этом случае возможно будет что девы будут работать в дашборде с ограниченными правами, которые я задам в ClusterRole ?
И вообще их туда пустит с такими ограниченными правами ?

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: app-developers-restricted-access
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/exec"]
verbs:
- create
- apiGroups: ["apps"]
resources: ["deployments/scale"]
verbs: ["patch"]

Кейс 3.

Поставить ранчер ну и весь флоу по него разработать. Но тут чую на неделю минимум делов.

Кейс 4.

Прикрутить какую то стороннюю авторизацию, н-р saml, ldap. У нас AD. Тут чую тоже много работы

В общем может кто что посоветует ?

3 ответов

16 просмотров

так флоу с сертификатами херовый, из отзывать нельзя проще взять сервис аккаунты

У меня 3 пункт. Все довольны. Авторизация через keycloak

> У нас AD Взять dex или keycloack в качестве брокера. Таким образом у тебя будет oidc

Похожие вопросы

Обсуждают сегодня

Всем привет! Имеется функция: function IsValidChar(ch: UTF8Char): Boolean; var i: Integer; ValidChars: AnsiString; begin ValidChars := 'abcdefghijklmnopqrstuvwxyzABCDE...
Евгений
28
лучше скажите, причём тут паскаль?
Alexey Kulakov
36
День добрый, подскажите пожалуйста, есть ли какой-то способ сказать ребару не компилировать определённое приложение? Всю доку их перечиатл ничего подобного не нашёл
Кирилл
14
Народ! Впервые клиенту пришло письмо от РКН, у вас, дескать, есть яндекс метрика, а нигде не написано, что вы ее юзаете. Никто не сталкивался?
Sasha Beep
10
Добрый вечер. Хочу чтобы у меня в классе поле было функцией, которая возвращает строку. Делаю так: interface ... TGetOutPath = function : String of object; ... protec...
Kirill Filippenok
12
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
В clientsettings есть поле client_rates. В поле pagebuilder. Как получить то его?)
Andrey K
8
Здравствуйте, хочу сделать HelloWorld в консоли Дельфи, но функция API ничего не выводит, что я делаю не так? program Hello; {$APPTYPE CONSOLE} uses System.SysUtils, WinAPI.Wi...
Sergey Vinogradov
20
Вопрос на перед, на следующую пятницу. Сколько строк кода можно вешать на одного программиста, понятно что если проект хорошо написан то можно и миллион. Но есть же где то пре...
AlekseyK Kluchnikov
31
Немного оффтопа: а кто на чем сидит для осдева в плане ide/редактора? Последнее время сидел на vscode, но я его прям не могу нормально воспринимать, перешел на сlion, но меня...
Evg Resh
29
Карта сайта