YA
так это убирается
Size: a a a
2019 July 09
YA
мастера получают только приватные ip и роутятся пирингом
YA
В общем я оставил мастера в паблике, отправив в приват только ноды, поды и сервисы. А паблик мастеров прикрыл через master-authorized-networks. Видимо это ожидаемый путь решения проблемы.
A
мастера получают только приватные ip и роутятся пирингом
YA
там ничего про мастера не сказано. Но кластер у меня нативный, поды получают внутренние ip сети.
A
там ничего про мастера не сказано. Но кластер у меня нативный, поды получают внутренние ip сети.
YA
Ну вот у них в табличке Access to the cluster endpoints левая колонка Public endpoint access disabled - Client access to the master's public endpoint is blocked. Access to the master must be from internal IP addresses. Судя по всему они не предполагают доступ с паблика в такую сеть ни в каких случаях.
S
Ну вот у них в табличке Access to the cluster endpoints левая колонка Public endpoint access disabled - Client access to the master's public endpoint is blocked. Access to the master must be from internal IP addresses. Судя по всему они не предполагают доступ с паблика в такую сеть ни в каких случаях.
можно внутри приватной сети поставить джампхост и ходить с него. Проблема в том на самом деле что из-за пиринга маршрут до мастера никак не заанонсить в туннель до онпрема, чтобы ходить безбрлезненно
2019 July 10
YA
Спасибо за помощь! Пожалуй нам не нужен приватный кластер.
IC
N
Terraform: Up & Running: Writing Infrastructure as Code, 2nd Edition (Early Release)
Yevgeniy Brikman
2019
Yevgeniy Brikman
2019
Огромное спасибо🥳🥳
MK
Для подготовки
у нас народ больше от udemy оттопыривается.
2019 July 11
A
привет
A
возник вопрос по pubsub который тут же захотелось кому-нибудь озвучить
пытаюсь сервису дать права слушать события которые генерирует bucket
создал сервисный аккаунт и дал ему следующие права:
- roles/pubsub.editor на конкретный топик (чтобы можно было паблишить, консьюмить и тп)
- roles/editor на конкретный сабскрипшн (чтобы можно было подписываться)
а как-то можно разрешить сервису создавать и удалять сабскрипшны но только в рамках конкретного топика?
а то глобальная роль pubsub.editor с "pubsub.subscriptions.create" и "pubsub.subscriptions.create" слишком глобальная какая-то и дает кучу всего
https://cloud.google.com/iam/docs/understanding-roles#pubsub-roles
пытаюсь сервису дать права слушать события которые генерирует bucket
создал сервисный аккаунт и дал ему следующие права:
- roles/pubsub.editor на конкретный топик (чтобы можно было паблишить, консьюмить и тп)
- roles/editor на конкретный сабскрипшн (чтобы можно было подписываться)
а как-то можно разрешить сервису создавать и удалять сабскрипшны но только в рамках конкретного топика?
а то глобальная роль pubsub.editor с "pubsub.subscriptions.create" и "pubsub.subscriptions.create" слишком глобальная какая-то и дает кучу всего
https://cloud.google.com/iam/docs/understanding-roles#pubsub-roles
A
если кому-то поможет то вот терраформина: gist.github.com/afoninsky/752c9524ad4148f750c8db1a84f96d29
A
(блин как мою рожу на полэкрана убрать 🙂 )
A
если кому-то поможет то вот терраформина: gist.github.com/afoninsky/752c9524ad4148f750c8db1a84f96d29
рекомендую не использовать member/binding/policy вперемешку, иначе легко сломать себе ногу