Доступ к мастерам Kubernetes'а

1

2

Дорого времени!

Коллеги, подскажите способ скрыть от клиента мастера кластера Kubernetes. Примерно как это сделано у облачных провайдеров (амазон, гугл, дигиталокеан и т.п). Сам кластер саморазвернутый на витуалки, несколько мастеров, металлб и т.п.

Ссылка

←	настройка nginx перенаправление с порта на порт

Указание размера tmpdb в mysql

→

если я тебя правильно понял, то тебе нужно rbac настроить.

v9lij ★★★★★
(05.11.20 01:14:16 MSK)

У облачных провайдеров редко есть отдельные мастера, обычно предпочитают несколько контрол-плейнов запускать на одной ноде (например https://github.com/kvaps/kubernetes-in-kubernetes/). Тогда и скрывать нечего - мастеров и нет фактически.

Второй вариант - не давать мастерноде регистрироваться в апи - https://kubernetes.io/docs/concepts/architecture/nodes/#manual-node-administr...

~~vrutkovs~~ ★★
(05.11.20 01:36:54 MSK)

Ссылка

Ответ на: комментарий от v9lij 05.11.20 01:14:16 MSK

Да, такая мысль есть, но я не могу придумать ограничения для админа кластера, который сам пинает в кубер кластер-роли по поводу и без, а вот при выводе kubectl get node он поучит тока ноды-воркеры.

alex-123
(05.11.20 01:38:49 MSK) автор топика

Ответ на: комментарий от alex-123 05.11.20 01:38:49 MSK

Сделать роль, в которой не давать доступ к нодам? Вот такой видимо

- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - '*'

Правда тогда походу придется как раз описывать доступ ко всем остальным ресурсам

А в чем смысл такого ограничения?

user_undefined ★
(05.11.20 09:34:47 MSK)

Ответ на: комментарий от user_undefined 05.11.20 09:34:47 MSK

Тогда и к воркерам доступа не будет. Так же?

alex-123
(05.11.20 15:51:04 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	настройка nginx перенаправление с порта на порт

Admin

Указание размера tmpdb в mysql

→

Похожие темы