VR
Это то что мы пока что сделали.. Но хочется все таки роллинг
так не получится - нельзя сделать burst обещая что одни поды скоро уберутся
Size: a a a
2021 March 09
GM
MaxSurge 0, maxUnavail 20%?
GM
Эффективно это должно дать in-place rolling, нет?
R
Можно наверное написать admission controller который словит начало этого роллаута, увеличит квоту, а в конце роллаута её уменьшит обратно... Но морока конечно. Да и кривовато как то
СЗ
скажите, а можно как то отключить дебаг ноды?
АС
Привет.
Как можно получить все действующие RBAC для пользователя?
Скажем, есть пользователь "Вася" и я хочу понять что конкретно он может делать , т.е. какие права у него есть в кластере.
Как можно получить все действующие RBAC для пользователя?
Скажем, есть пользователь "Вася" и я хочу понять что конкретно он может делать , т.е. какие права у него есть в кластере.
DG
реализация quota + limitrange неполноценны по своей сути в кубе, сравнивать лимиты для того, чтобы уложиться в квоту - странная сама по себе
DG
ну и запускать приложения под квоту суммой реквестов - тоже не очень, а если HPA растянет деплоймент (ну или попытается) и упрется в квоту - больно будет
DG
а главное, все это никак не сочетание с бюджетированием расходов на железо и лицензий на шифт 🙂
DG
@vrutkovs как должен делаться малтитенанси на уровне ресурсов с точки зрения редхата?
DG
если под тенантами понимаются разные источники средств
R
Андрей Суковицын
Привет.
Как можно получить все действующие RBAC для пользователя?
Скажем, есть пользователь "Вася" и я хочу понять что конкретно он может делать , т.е. какие права у него есть в кластере.
Как можно получить все действующие RBAC для пользователя?
Скажем, есть пользователь "Вася" и я хочу понять что конкретно он может делать , т.е. какие права у него есть в кластере.
Можно oc get clusterrolebindings с custom columns format на subject и оттуда прогрепить, тоже самое с oc get rolebindings --all-namespaces. Почему то помнится ещё что было что-то из серии oc adm policy can-i но сейчас мельком просмотрела и не нашла
АС
тоже думал про can-i (был в 3,11)
R
мы так и делаем - quota+limitrange с разными уровнями. Приходится закладывать лимит на +1 под для роллаута.
Как это в идеале должно быть - тут может @leo_puh знает
Как это в идеале должно быть - тут может @leo_puh знает
А можно пример такой квоты + lr?
VR
А можно пример такой квоты + lr?
$ oc get resourcequota
NAME AGE REQUEST LIMIT
over-the-air-upgrades-quota 49d persistentvolumeclaims: 2/2, pods: 6/50, requests.storage: 6Gi/10Gi limits.cpu: 3100m/4, limits.memory: 7048Mi/8Gi
$ oc get limitrange -o yaml
apiVersion: v1
kind: LimitRange
metadata:
labels:
ticket: TASK0876436
tier: default
name: over-the-air-upgrades-limits
namespace: over-the-air-upgrades
spec:
limits:
- default:
cpu: 500m
memory: 1000Mi
defaultRequest:
cpu: 300m
memory: 400Mi
type: Container
АФ
А кто может подсказать как получить доступ к дефолтному registry,используя не токен,а плаин пользователь/пароль?
Нужен доступ к регистри из вне кластера. По токену аунтефицируюсь без проблем,по паролю не могу
Нужен доступ к регистри из вне кластера. По токену аунтефицируюсь без проблем,по паролю не могу
И
docker login -u <user_name> -p $(oc whoami -t) это не работает?СЗ
Александр Филимонов
А кто может подсказать как получить доступ к дефолтному registry,используя не токен,а плаин пользователь/пароль?
Нужен доступ к регистри из вне кластера. По токену аунтефицируюсь без проблем,по паролю не могу
Нужен доступ к регистри из вне кластера. По токену аунтефицируюсь без проблем,по паролю не могу
Создать сервисаккаунт, его токен - его пароль
АФ
А без токена?используя логин/пароль пользователя,которым могу залогиниться в консоль