Início / user-212840

Luke Cousins's questions

Martin Hope
Luke Cousins
Asked: 2024-09-03 17:47:28 +0800 CST
  • 5

Originalmente instalamos o cert-manager usando manifestos estáticos. Agora precisamos personalizar as configurações (tempo limite do webhook, veja digitalocean/clusterlint#167), então estou pensando que a melhor opção é migrar para uma instalação helm, mas não tenho certeza de como fazer isso da melhor forma e alguma ajuda seria muito apreciada.

Li as instruções de desinstalação , mas não desejo remover certificados ou emissores (cluster/). Posso pular essa etapa de remoção, pois sei que reinstalarei com o Helm momentos depois, ou preciso seguir um processo diferente?

Qualquer ajuda seria incrível. Obrigado 🙏

kubernetes
Martin Hope
Luke Cousins
Asked: 2019-10-10 01:59:14 +0800 CST
  • 2

Estamos usando o Helm para implantar nosso aplicativo no K8s. Em 4 arquivos de implantação diferentes (um para cada serviço) e um arquivo de trabalho para migrações, temos que ter um conjunto idêntico de envvariáveis. Sempre que precisamos adicionar um novo, precisamos adicioná-lo a todos os 5 arquivos. Existe uma maneira de compartilhar esses novos env vars só precisam ser adicionados uma vez e todos os 5 arquivos os pegarão (e também nunca poderão ficar fora de sincronia)?

Aqui está um exemplo de um arquivo de implantação (com valores potencialmente confidenciais editados).

apiVersion: apps/v1
kind: Deployment
metadata:
  name: {{ include "helm-chart.fullname" . }}-celery
  labels:
    app.kubernetes.io/name: {{ include "helm-chart.name" . }}-celery
    helm.sh/chart: {{ include "helm-chart.chart" . }}
    app.kubernetes.io/instance: {{ .Release.Name }}-celery
    app.kubernetes.io/managed-by: {{ .Release.Service }}
    app.kubernetes.io/component: worker-celery
spec:
  replicas: {{ .Values.replicaCountCelery }}
  selector:
    matchLabels:
      app.kubernetes.io/name: {{ include "helm-chart.fullname" . }}-celery
      app.kubernetes.io/instance: {{ .Release.Name }}-celery
  template:
    metadata:
      labels:
        app.kubernetes.io/name: {{ include "helm-chart.fullname" . }}-celery
        app.kubernetes.io/instance: {{ .Release.Name }}-celery
    spec:
      imagePullSecrets:
        - name: {{ .Values.imagePullSecretsName }}
      containers:
        - name: {{ .Chart.Name }}-celery
          image: "{{ .Values.appImage.repository }}:{{ .Values.imageTag }}"
          imagePullPolicy: {{ .Values.appImage.pullPolicy }}
          command: ["celery"]
          args: [REDACTED]
          env:
            - name: DJANGO_DEBUG
              value: "{{ .Values.djangoDebug }}"
            - name: DATABASE_NAME
              value: "{{ .Values.databaseName }}"
            - name: DATABASE_USER
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: DATABASE_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: DATABASE_HOST
              value: "myapp-haproxy.{{ .Release.Namespace }}.svc.cluster.local"
            - name: MEMCACHED_HOST
              value: "myapp-memcached.{{ .Release.Namespace }}.svc.cluster.local"
            - name: SENDGRID_USER
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: SENDGRID_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: STRIPE_LIVE_PUBLIC_KEY
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: STRIPE_LIVE_SECRET_KEY
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: OBJECT_STORE_ENDPOINT_URL
              value: [REDACTED]
            - name: OBJECT_STORE_REGION_NAME
              value: [REDACTED]
            - name: OBJECT_STORE_KEY_ID
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: OBJECT_STORE_ACCESS_KEY
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: OBJECT_STORE_CDN_URL
              value: [REDACTED]
            - name: QUICKBOOKS_CLIENT_ID
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: QUICKBOOKS_CLIENT_SECRET
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: QUICKBOOKS_ENVIRONMENT
              value: production
            - name: XERO_CONSUMER_KEY
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: XERO_CONSUMER_SECRET
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: SAGE_CLIENT_ID
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: SAGE_CLIENT_SECRET
              valueFrom:
                secretKeyRef:
                  name: [REDACTED]
                  key: [REDACTED]
            - name: ACCOUNTANCY_REDIRECT_URI_PREFIX
              value: [REDACTED]
          resources:
            {{- toYaml .Values.celeryResources | nindent 12 }}
      {{- with .Values.nodeSelector }}
      nodeSelector:
        {{- toYaml . | nindent 8 }}
      {{- end }}
    {{- with .Values.affinity }}
      affinity:
        {{- toYaml . | nindent 8 }}
    {{- end }}
    {{- with .Values.tolerations }}
      tolerations:
        {{- toYaml . | nindent 8 }}
    {{- end }}

Não tenho certeza se isso adiciona alguma complicação, mas você pode ver que alguns estão usando variáveis ​​de values.yaml(como {{ .Values.djangoDebug }}), alguns estão se referindo a segredos do Kubernetes e alguns usam a {{ .Release.Namespace }}variável.

Além disso, o recuo necessário é o mesmo para os 4 deploymentarquivos, mas diferente para o jobarquivo.

Estou tentando compartilhar envvários valores, mas também poder adicionar opcionalmente alguns extras a alguns arquivos.

Espero que faça sentido? E desde já agradeço sua ajuda.

kubernetes
Martin Hope
Luke Cousins
Asked: 2019-08-08 00:25:43 +0800 CST
  • 1

Temos um usuário de banco de dados existente em nossa instância MariaDB 10.3. Gostaríamos de conceder ao usuário algumas permissões extras, sem nenhuma interrupção no serviço.

Eu entendo pela resposta útil aqui o processo básico, mas estou preocupado que entre a execução do REVOKE ALL PRIVILEGES...comando e o GRANT ...comando que o usuário não tenha nenhum acesso ao banco de dados. Isso está correto? Em caso afirmativo, existe uma boa maneira de contornar isso, além de criar um novo usuário com um nome de usuário diferente e migrar o código do aplicativo para usar esse novo usuário?

Obrigado pela ajuda.

mysql
Martin Hope
Luke Cousins
Asked: 2016-08-26 03:04:46 +0800 CST
  • 0

Eu teria pensado que isso já foi perguntado antes, mas fiz muitas pesquisas no Google e não consigo encontrar uma resposta simples, desculpe se isso já foi respondido.

Essencialmente, estou planejando oferecer um serviço que permite aos usuários executar contêineres docker em meus hosts docker. O usuário pode escolher um dos meus contêineres fornecidos ou fornecer o seu próprio (não auditado). Eles também podem executar comandos bash de sua escolha em seu contêiner. Eu preciso que eles sejam restritos a apenas executar o código em seu contêiner e não possam acessar o host ou qualquer outro contêiner em execução simultânea. Os contêineres devem ter acesso total à Internet e o host precisará ter um diretório compartilhado com o contêiner. Inicialmente, fornecerei alguns arquivos de dados para o contêiner docker e, assim que o contêiner fizer o que o usuário desejar, precisarei acessar os arquivos de dados novamente nesse ponto.

Do que preciso ter cuidado do ponto de vista da segurança? Obrigado pela ajuda.

docker
Martin Hope
Luke Cousins
Asked: 2016-08-20 09:29:53 +0800 CST
  • -1

Estou trabalhando em um script de implantação que deseja atualizar um link simbólico atomicamente. Pretendo usar um comando como

$ ln -s new current_tmp && mv -Tf current_tmp current

(Crédito aqui para obter detalhes sobre por que isso funciona).

No entanto, nem todas as versões do mvsuportam a -Topção. Como posso determinar com segurança se um sistema oferece suporte a ele antes de usá-lo?

É uma maneira melhor do que criar um arquivo diferente e tentar mvesse arquivo usando a -Topção (e verificando se foi bem-sucedido) para que eu possa saber se o sistema atual oferece suporte a essa opção? Então posso executar o comando correto para esse sistema.

Obrigado pela ajuda.

command-line-interface mv