VR
в него и пишем, но он словно не цепляется
надо писать в ишшьюсы prometheus-operator
Size: a a a
2020 December 09
SS
кстати, а такой вопрос...если запускаешь прям вот под из-под пользака с правами cluster-admin, то под получает scc anyuid..это баг или фича?...если в деплойменте, то нет такого
VR
Sergey Savchuk
кстати, а такой вопрос...если запускаешь прям вот под из-под пользака с правами cluster-admin, то под получает scc anyuid..это баг или фича?...если в деплойменте, то нет такого
а в деплойменте какой serviceaccount?
SS
везде default
VR
загадочно, но пользователь который создал под\деплоймент не важен, scc выдается по требованиям в securityContext и проверяется что serviceaccount имеет к scc доступ
SS
я тоже так думал...полдня потратили, думали, что нас хакнули ))...потом проверили на новом кластере 4.5 - такая же история
SS
но только если голый под создаешь...в деплойменте все нормально
SS
ну и если от пользака с правами например edit, то тоже нормально..тоесть scc restricted
АФ
Sergey Savchuk
кстати, а такой вопрос...если запускаешь прям вот под из-под пользака с правами cluster-admin, то под получает scc anyuid..это баг или фича?...если в деплойменте, то нет такого
Когда поднимаешь под напрямую от cluster-admin user он и запускается с правами,а на эту группу висит anyuid
АФ
А когда через деплой,то там по умолчанию sa default все деплоит
SS
да, висит..но причем тут пользователь, который его запускает...он же должен sa смотреть
АФ
А sa указан в поде,если нет то возьмёт от какого пользака выполнен запуск
SS
указывали вообще любой sa...все равно
АФ
Это уже странно,но такое поведение я тоже наблюдаю при запуске пода напрямую
SS
тоесть вы говорите, если sa не указывать, то оно естессно возьмет default, но права возьмет c запускающего пользователя..ну а там anyuid
АФ
Не совсем,я говорю что когда используешь деплой, то поднимаются от sa default
АФ
А когда от себя,то берет твои права
АФ
Почему не берет sa из спецификации пода странное поведение
SS
но если посмотреть под, то sa будет default
SS
если от себя запускать под напрямую без указания sa