172 похожих чатов

Всем привет Дошёл наконец до задачи предоставления доступа в кластер разработчикам. Пока

сделал флоу чтобы вручную создавать csr(1 месяц), серт и выдавать его разрабу.

Через RoleBinding в неймспейсе к ClusterRole в неймспейсах с системами выдал ограниченные доступы пока только на exec и скейлинг деплоймента.

Но руководству больше нравиться веб интерфейс. В кластере есть установленный по дефолту kube dashboard.

Но чтобы у нему подключиться нужен SA, и куб-конфиг по другому надо делать. У меня пока флоу с обычными x509 сертами.

Ну т.е. от уже имеющегося флоу с x509 куб-конфиг не зайдёт, т.к. нужен токен, а токен как я понимаю может быть только у SA

В общем я пока только начал разбираться в теме RBAC поэтому много вопросов.

Кейс 1.

Оставить как есть. Пусть учаться работать с kubectl

Кейс 2.

Выкинуть kube dashboard через ингресс за vpn. Но тогда нужно будет на каждого дева делать SA с кубконфигом в котором будет токен ?
В этом случае возможно будет что девы будут работать в дашборде с ограниченными правами, которые я задам в ClusterRole ?
И вообще их туда пустит с такими ограниченными правами ?

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: app-developers-restricted-access
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/exec"]
verbs:
- create
- apiGroups: ["apps"]
resources: ["deployments/scale"]
verbs: ["patch"]

Кейс 3.

Поставить ранчер ну и весь флоу по него разработать. Но тут чую на неделю минимум делов.

Кейс 4.

Прикрутить какую то стороннюю авторизацию, н-р saml, ldap. У нас AD. Тут чую тоже много работы

В общем может кто что посоветует ?

3 ответов

17 просмотров

так флоу с сертификатами херовый, из отзывать нельзя проще взять сервис аккаунты

У меня 3 пункт. Все довольны. Авторизация через keycloak

> У нас AD Взять dex или keycloack в качестве брокера. Таким образом у тебя будет oidc

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта