Wimbo Oct 26 2018 at 10:50

Kubernetes tips & tricks: доступ к dev-площадкам

4 min

13K

Флант corporate blogDevOps*Server Administration*System administration*

+27

Comments 8

qwertyRu Oct 26 2018 at 14:29

Для этого был создан nginx с конфигурацией такого типа:

правильно ли я понял, что этот nginx и имеет dns имя dev-auth.dev-auth-infra.svc.cluster.local и к которому идут за авторизацией?

Wimbo Oct 26 2018 at 14:34

Да.

Stamm Oct 27 2018 at 16:29

А вы как-то даёте доступ разработчикам к выполнению exec внутри подов?

Wimbo Oct 28 2018 at 11:09

Чаще всего хватает доступов к Kubernetes Dashboard с авторизацией в gitlab.
Иногда даем доступ с помощью kubectl (конфиг подключения) с юзером, которому доступны только те действия, что определили с помощью RBAC.

Stamm Oct 29 2018 at 22:57

хватает доступов к Kubernetes Dashboard с авторизацией в gitlab

А как это реализовали, через dex?

Wimbo Oct 29 2018 at 23:11

Нет. С помощью oauth2 proxy

И пары аннотаций:

 ingress.kubernetes.io/auth-signin: https://$host/oauth2/sign_in

 ingress.kubernetes.io/auth-url: http://dashboard-oauth2-proxy.kube-system.svc.cluster.local:4180/oauth2/auth

Если интересно, то можем рассказать в следующей статье более подробно о данном кейсе.

Stamm Oct 29 2018 at 23:14

Получается, что доступ будет во все части дашборда или есть какое-то разграничение?
Да, было бы интересно, если расскажете. Спасибо!

Wimbo Oct 29 2018 at 23:16

Да, доступ есть во все части дашборды, но она запущена из под сервис аккаунта, которому разрешено только «смотреть», но не редактировать.