B
Как костыль, отсеивать ненужные неймспейсы
Size: a a a
2019 October 01
VR
можно ковырять кибану на предмет доступа, но я не знаю можно ли там запрещать доступ к записям с namespace: foo
B
Поставить redash и сделать там дашборды по доступу
၁
sidecar с filebeat. или просто логи пиши из пода сразу наружу куда то. а так только с супер правами на уровне флюента.
Лучшие практики, это писать в докер драйвер json-file, а дальше уже разбирать. Так что не особо хочется лить логи на уровне приложения сразу по сети куда-то ещё. Внешний приемник будет недоступен и приложение крешнется.
Но запись в стандартный json-file уже требует админов кластера.
Остаётся как раз sidecar какой-то прикрутить или типа того.
Но запись в стандартный json-file уже требует админов кластера.
Остаётся как раз sidecar какой-то прикрутить или типа того.
၁
можно ковырять кибану на предмет доступа, но я не знаю можно ли там запрещать доступ к записям с namespace: foo
Не, хочу внешнюю кибану, ковырять встроенную, это опять админы кластера.
IM
Не, хочу внешнюю кибану, ковырять встроенную, это опять админы кластера.
На уровне приложения можно писать куда угодно
၁
На уровне приложения можно писать куда угодно
Но стандартный stdout надёжнее, нет?
VR
Bogdan
Поставить redash и сделать там дашборды по доступу
Вариант, да. Там в настройках есть еще не использовать per-user индексы - и настроить обни дашборды на всех кибаной
DG
Лучшие практики, это писать в докер драйвер json-file, а дальше уже разбирать. Так что не особо хочется лить логи на уровне приложения сразу по сети куда-то ещё. Внешний приемник будет недоступен и приложение крешнется.
Но запись в стандартный json-file уже требует админов кластера.
Остаётся как раз sidecar какой-то прикрутить или типа того.
Но запись в стандартный json-file уже требует админов кластера.
Остаётся как раз sidecar какой-то прикрутить или типа того.
» Но запись в стандартный json-file уже требует админов кластера.
с чего это?)
с чего это?)
၁
» Но запись в стандартный json-file уже требует админов кластера.
с чего это?)
с чего это?)
Не правильно выразился. Имел в виду, что если используется стандартный драйвер для логов - json-file, то с правами админа неймспейса он мне недоступен для манипуляций.
DG
нууу, сам файл тебе недоступен в любом случае, это ж просот файл -json.log в каталоге /var/lib/docker/containers/XXXX/
DG
а доступ к содержимому лога получается через вычитывание файла кублетом при обращении к логу сервиса через апи куба
DG
вроде бы как-раз недавно была объявлена уязвимость в кубе в механизме вычитки этого файла кублетом
B
Можно сделать hostPath mount
B
Надо конечно повесить доп роль для этого к sa
DG
такая себе стратегия, лучше все-таки рулить доступом на стороне доступа к логах, а не их коллекшене
၁
нууу, сам файл тебе недоступен в любом случае, это ж просот файл -json.log в каталоге /var/lib/docker/containers/XXXX/
Это всё так, но когда у тебя ограниченная учетка, то даже ls /var/lib/docker даёт тебе permission denied.
Нужно решение с минимальным поднятием привилегий, а лучше на уровне текущего админа неймспейса.
Нужно решение с минимальным поднятием привилегий, а лучше на уровне текущего админа неймспейса.
၁
такая себе стратегия, лучше все-таки рулить доступом на стороне доступа к логах, а не их коллекшене
А если выбить права на уровне /var/lib/docker на свои приложения, то дальше как?
DG
так гранулярно ты их не ограничишь
DG
там владелец всего - юзер из под которого докерд запущен