Fórum Root.cz
Hlavní témata => Server => Téma založeno: czechsys 27. 01. 2026, 10:36:57
-
Cau,
vyvojari si chteji zkusit nejaky kubernetes, tak jsem zatim rozbehl zakladni k3s. Nejdrive jsem zkusil pouzit rootless k3s, ale testovaci kontejnery nespolupracovaly s gpu. Tak jsem se vratil k rootful. No a narazil jsem na to, ze tam vlastne neni zadna sprava uzivatelu. V tuhle chvili by mi na testovani stacilo aspon, kdyby se to dalo omezit na neprivilegovane kontejnery a omezit uzivatele do jejich namespace.
Postup pro funkcni pridani uzivatelu jsem musel nakonec musel hledat po githubech (wtf), defacto via uzivatelske certifikaty. Rancher UI jsem do toho jeste nezkousel nainstalovat. Nez budu zatracet cas ruznymi hokus pokusy, ma nekdo tip na nejakou administracni free variantu, ktera by se dala zkusit, resp. pripadne klidne i pripadne cele reseni (kube + administrace)?
Diky.
-
Osobně mě spíš přijde že k8s cílí na automatizované deploymenty a správu než aby se s tím někdo "klikal" ručně ... Nicméně se třeba mýlím a někdo s něčím přijde ...
-
Co co myslíte těmi uživateli? K čemu chcete vlastně ten kubernet používat? Kubernet je systém pro běh služeb v kontejnerech, o jaké uživatele vám jde? Uživatele pro správu toho kubernetu nebo aplikační uživatele těch služeb??
-
Co co myslíte těmi uživateli? K čemu chcete vlastně ten kubernet používat? Kubernet je systém pro běh služeb v kontejnerech, o jaké uživatele vám jde? Uživatele pro správu toho kubernetu nebo aplikační uživatele těch služeb??
Uzivatele, kteri budou mit moznost pristupu ke kubernetu, s omezenymi pravy - napr. aby skupina uzivatelu mela pristup jen do sveho namespace a nemohla tak pracovat s namespacem jine skupiny.
-
Na redditu jsem zahledl info o Project Capsule - vytvari abstrakci tenant, ktery sdruzuji namespaces, network/security politiky, rbac atd.
-
Co co myslíte těmi uživateli? K čemu chcete vlastně ten kubernet používat? Kubernet je systém pro běh služeb v kontejnerech, o jaké uživatele vám jde? Uživatele pro správu toho kubernetu nebo aplikační uživatele těch služeb??
Uzivatele, kteri budou mit moznost pristupu ke kubernetu, s omezenymi pravy - napr. aby skupina uzivatelu mela pristup jen do sveho namespace a nemohla tak pracovat s namespacem jine skupiny.
My v práci používáme RBAC model https://kubernetes.io/docs/reference/access-authn-authz/rbac/ Detailům nerozumím - není to náplň mojí práce, každopádně máme jako DEVOPS přístup jen na některé namespace a očividně tam je možnost detailně řídit, co kdo může a to i v rámci jednoho namespace (které může role vidět, restartovat atd.).
-
Co co myslíte těmi uživateli? K čemu chcete vlastně ten kubernet používat? Kubernet je systém pro běh služeb v kontejnerech, o jaké uživatele vám jde? Uživatele pro správu toho kubernetu nebo aplikační uživatele těch služeb??
Uzivatele, kteri budou mit moznost pristupu ke kubernetu, s omezenymi pravy - napr. aby skupina uzivatelu mela pristup jen do sveho namespace a nemohla tak pracovat s namespacem jine skupiny.
My v práci používáme RBAC model https://kubernetes.io/docs/reference/access-authn-authz/rbac/ Detailům nerozumím - není to náplň mojí práce, každopádně máme jako DEVOPS přístup jen na některé namespace a očividně tam je možnost detailně řídit, co kdo může a to i v rámci jednoho namespace (které může role vidět, restartovat atd.).
To se používá (téměř) všude, nicméně co jsem pochopil tazatele tak by na to rád klikátko a ne sadu yamlů který musí psát a aplikovat....
-
v rancher UI se daji "naklikat" rbac role aspol, jedna vec jsou prava pro aplikace a druha pro uzivatele (pripojeni pres SSO providera, kubeconfig), vyvojar obvykle pushne kod a ocekava ze mu nejake cicd vytvori kontejner v k3s/k8s s novym kodem
pres k3s a rancher cli to jde cele nainstalovat a nakonfigurovat skriptem misto klikacky
-
Cus, mam naky laby plus minus fcni kde jsou externi uzivatele v ipe(AD), replikuji se do keycloaku, kterej dela identity provdera a proti nemu je oprenej kubernetes api aserver. Uzivatel na zaklade skupiny nebo usernamu v ipe ma konkretni prava v k8s. Jak to muze vypadat je treba zde (hromada playbooku - zajima te hlavne slozka deploy/08_k8s:
https://github.com/veldrane/citadel-core
Funguje to tak ze skupiny a useri ktere, jsou externi maji v ramci kubernetes sveta nejaky prefix, na ktery pak delas clusterrolebiding. Uzivatel se prihlasi pres keycloak, dostane token, ten ma groups claim a aud ktery overuje kube-api server. Na zaklade nej pak user prihlaseny pres kubectl nebo treba pres dashboard vidi objekty na ktere ma prava. Pokud chces vic informaci klidne pis do pm.