JON: mno me to prinde ze to je blbej napad. To api uz existuje a jmenuje se kubernetes api, role prirazujes pres cluster role a kde mas uzivatele zalezi na instalaci - pouze lokalni admin, oidc provider, 3rd party - entra treba). Kubeconfig imho vygenerujes i bez nejakejch spesl opravneni.

long story short - je to jen imho o tom jak udelas cluster roli, komu ji pridelis a jak vygenerujes kubeconfig. Na to nepotrbujes nic specialniho

Lepsi auditko jsem nenasel: V k8s clusteru bych potreboval on-demand zakladat namespace (pro testovaci prostredi). Ted to delam z CI/CD pipeliny, ale nelibi se mi, ze tam (v gitlab variables) musi byt kubeconfig s pristupem k celemu clusteru - chtel bych tam dat jen kubeceonfig omezeny na dany namespace, ale ten jde vytvorit az kdyz namespace existuje (mi teda prijde, muzu se plest).

Tak me napadlo si na to udelat servicu, ktera pobezi v tom clusteru, a prostym zavolanim nejakyho API provede kontrolu opravneni, spravnosti jmena namespacu a namespace zalozi a vrati k nemu kubeconfig.
Je to dobrej napad? Spatnej napad? Jakej je to vlastne napad?
Neexistuje uz neco takovyho?

VOJTAM: v enterprise jedem tohle. Umí to automaticky měnit cpu/mem konfiguraci definic v EKS podle vlastního sledování. Když máš scheduling přes Karpenter, tak je to super. Trabl je, že joby jsou created tak do toho moc nechceme developerům moc šahat, ale často spinují underutilized pody. Ale tím že provozujeme i non-prod prostředí, tak tam se to hodí.

IBM Turbonomic
https://www.ibm.com/products/turbonomic

Ahoj, používáte nějaký "container management" ? našel jsem yacht.sh a portainer.io.
Je něco dalšího na co se podívat ?

HVJ3R: nope, zapsalo to na fs. koukal jsem na to i z venku kontejneru. Ale ještě jsem tem compose ne-předefinoval. Tak dám vědět, je to takovej hobby job ke kterému se vracím čas od času.

RUDOLF: Ja bych si aj tipnul, ze te to tam necha zapsat, ale pises do overlaye pro dany kontejner, nepropisuje se ti to do underlyimg FS. Nebo jo?

UNTOY: nedeklaroval jsem ji. Mám pocit, že už to docker-compose nevyžaduje (aspoň podle dokuemetnace) - mám dát tu trojkovou?

RUDOLF: jakou `version` máš v tom compose souboru?

možná protože běžím v tom kontejneru jako root?

něco mi uniká.. tohle z docker compose
pywb:
image: webrecorder/pywb:2.7.4
volumes:
- "/mnt/archive:/mnt/archive:ro"

dám docker exec -it do toho kontejneru a mám RW přístup do /mnt/archive.. co mi uniká?

je to hodně opensearch specifický, ale kdyby někdo věděl...

[MLEKAR_STEIN @ Nerelační databáze a data v distribuovaném prostředí]

MARTEN: je to pokračování toho, co jsi tu řešil a jde o to, aby ty dockery nikam z re mašiny nemohly?
jestli jo, tak nevím o ničem, co by bylo přívětivý.

MARTEN: traefik poslouchá na 443, máš tam nastavený routing pravidla, podle hostname např do různých služeb a systémový firewall má všechno krom 443 bloklé a těch pár jiných máš whitelistu. Vůbec bych dockeru firewall nenastoval, řeš to na úrovni OS. Ale možná jsem nepochopil tvůj problém;-)

Resil jste nekdo nastaveni firewallu pro server kde bezi docker? Prijde mi ze docker je na tohle docela blby, hlavne tim jak se sam stara o pravidla v iptables.
Co asi potrebuju je zakazat vsechny porty. Nektere povolit pouze z urcitych url. 80/443 povolit pro vsechny.
Co mam ted je docker kde bezi traefik a contanery si vytvareni hosty. 80/443 je presmerovane na to (docker si sam dela pravidlo). V iptables pravidla na zakazani vseho a jen povoleni co potrebuju. Ale tohle mi relativne blbne a mlati se s pravidlama z dockeru. Co zadam vlastni, tak bud nefunguji, nebo kdyz funguji, tak ale zafunguji i jako egress.
Nemate nekdo reseni tady pro to? Nejlepe i s gui, nebo lehce nastavitelne. Nektere sluzby budou pristupne z ostatnich serveru ale ne vsude muze byt docker swarm, aby to bylo lehci.

VELDRANE: nakonec jsem zjistil, že to dělá vzdycky. měl jsem v testovacím values pro samotnyho rabbita chybu, nechal jsem tam prefix z globalnich values,, takze se neuplatnily a tak se vlastne nainstalocal bez parametrru.
takze to dela dycky a tim padem to bude nekde okolo readiness probe, ta chyba co to vypisuje na to smeruje.

MLEKAR_STEIN: hele rad bych Ti pomoh, ale ac mam s helmem pomerne bohaty zkusenosti tak sem subchart nikdy nepouzil. Smrdi to tim ze ten secret se nevyrenderuje - btw: nebylo to donedavna tak ze se secrets nerenderovaly vubec ?

Co vyzvraci helm template ... -debug > nejakejfajl.out ?

GIOMIKY: to je čistej rabbitmq, tam žadnej apache neni
to spís je záznam od readiness probe nebo néco takovýho

GIOMIKY:
ale tady se zadny hesla nikde nezadavaji. a zadny externi ucty to nema napojene.

pri instalaci si to vygeneruje secret s heslem, to je v obou dvou pripadech vygenerovany,

a asi maji neco blbe v helmu, protoze kdyz se da instalace uplne bez parametru, tak to prochazi spravne.
no nic, bitnami image.