AA
topk(10, kube_pod_container_resource_requests_cpu_cores) в Monitoring - Metricsспасибо, очень наглядно)
Size: a a a
2021 March 10
VR
{namespace!~"openshift.*"} чтобы убрать дефолтные неймспейсыFM
коллеги на пул имаджей с quay.io есть какие-то ограничения? у меня переодически проскакивает ошибка con reset by peer
FM
походу просто один из IP в бане у провайдера, отсюда и ошибки
I
Роскомнадзор твиттер банит , может это и есть причина.
FM
да, забанил один из ip cnd02.quay.io
R
Андрей Суковицын
тоже думал про can-i (был в 3,11)
Нашла. В ocp 4, например: oc auth can-i get pods --as="vasya"
АС
Нашла. В ocp 4, например: oc auth can-i get pods --as="vasya"
ага:) спс.
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
АС
А вы сделайте oc describe clusterrole view. Вывод будет в примерно таком формате
АС
Удобно в случае если висит 1 роль
АС
Андрей Суковицын
ага:) спс.
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
^
R
Андрей Суковицын
ага:) спс.
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
Это просто было в продолжение. Не думаю что можно обойтись без jsonpath на все rolebindings и clusterrolebindings чтобы понять картину всего что можно юзеру
АС
вот это похоже на "оно" :)
R
Выглядит многообещающе
JS
Коллеги, привет.
А в ОШ 4 можно egress router tunnel делать?
По доке - вроде можно, коллеги говорили (со ссылкой на RedHat о каких-то ограничениях, но ничего не нашёл в доке об этом).
А в ОШ 4 можно egress router tunnel делать?
По доке - вроде можно, коллеги говорили (со ссылкой на RedHat о каких-то ограничениях, но ничего не нашёл в доке об этом).
2021 March 11
dm
Андрей Суковицын
ага:) спс.
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
но удручает то, что нужно перечислять вообще всё, чтобы понять, что реально можно
Попробуй oc auth can-i --list
АС
Попробуй oc auth can-i --list
Показывает, но создаётся впечатление, что не всё
DG
а если в 3.11 требуется обновить CA внешний по отношению к кластеру (тот. что про named_certificated), а он содержится в секретах сервис аккаунтов в ключе ca.crt
DG
~что бы сделать, чтобы новые серт распространять по секретам, когда в ca-bundle на мастерах уже все корректно~ перезапустить controller-manager-ы...