Комментарии 38
Это круто. Не совсем уловил про ключ.
Если это ключ для SSH Key-Based Authentication, то его установка требует определенных манипуляций. Или подразумевается, что если решил поставить kubernetes, то про ключи уже должен знать досконально?
который нужно положить на серверы, которые вы будете использовать для вашего кластера
Если это ключ для SSH Key-Based Authentication, то его установка требует определенных манипуляций. Или подразумевается, что если решил поставить kubernetes, то про ключи уже должен знать досконально?
Спасибо за комментарий, да, возможно я переборщил с предположениями;) Добавлю ссылочку на гайд.
Да, это ключик для того, чтобы ansible мог зайти на ваши сервера и сделать что ему нужно. В… обычной (когда из терминала запускаете) ситуации он может, конечно, пароль спросить, но в форме сервиса спрашивать пароль не у кого, сами понимаете :) Так что пока ключики.
Это, конечно, хлопотно гонять пользователя раскладывать ключи по своим серверам, у нас есть три продолжения этой темы:
1. будет дока, которая расскажет как разложить ключи по серверам (surprise, surprise) запустив ansible из терминала и введя проль(-и)
2. мы предложим вариант загрузки на wigin готового private ключа, если вдруг у пользователя уже готова key-based auth на его машины
3. будет возможность создавать vm-ы для разворачивания в публичных облаках, при таком раскладе все ключи будут разложены автомагически
Это, конечно, хлопотно гонять пользователя раскладывать ключи по своим серверам, у нас есть три продолжения этой темы:
1. будет дока, которая расскажет как разложить ключи по серверам (surprise, surprise) запустив ansible из терминала и введя проль(-и)
2. мы предложим вариант загрузки на wigin готового private ключа, если вдруг у пользователя уже готова key-based auth на его машины
3. будет возможность создавать vm-ы для разворачивания в публичных облаках, при таком раскладе все ключи будут разложены автомагически
Вы серьезно? root? Вот прямо так сразу?
Мой внутренний параноик застрелился сразу после прочтения!
Мой внутренний параноик застрелился сразу после прочтения!
Ну вы как бы хотите, чтобы вам на машину пакетов поставили (и сеть сконфигурировали). Даже если и не root, то пользователь из sudo списка нужен будет в любом случае.
Именно поэтому я и не хочу. Я и сам с kubeadm подниму все, что мне надо. И хосты будут внутри периметра безопасности. Туда внешний сервис по SSH не попадет при всем желании.
А тем кому нужен такой сервис — буду читать о них в сводках об утечках инфы пользователей.
А тем кому нужен такой сервис — буду читать о них в сводках об утечках инфы пользователей.
Этот сервис для тех, кто деплоит куб на публичные облака. Если серверы и их данные должны быть в изолированном периметре, то это, понятное дело, другой вопрос. Что же касается публичного облака, Вы же не думаете, что провайдеры не имеют доступ к Вашим данным?)
Имеют. Но доверять данные Амазону или DO (публичное облако), и доверять данные стартапу, у которого даже Privacy Policy не описано… Не находите, что это разные вещи?
Данные? Какие данные? Сделали две пустых VM-ы, положили ключи, развернули, убрали ключи.
И при первой нормальной нагрузке — легли. Отличное решение!
При чём тут нагрузка? Вы даёте сервису на ремя доступ к машинам, который можете в любой момент прекратить. Почему это называется «доверять данные непонятному стартапу»?
Именно потому, что вход по SSH нужно давать только тому, кому вы на 300% доверяете. Есть гарантии того, что при установке k8s не будет добавлена закладка для слива данных? Я не хочу сказать, что это сделают создатели стартапа. Я хочу сказать, что в случае их взлома может быть добавлен код, который будет укладывать закладки на все сервера, где они будут разворачивать k8s.
Это огроменный риск. И я не готов рисковать данными моих пользователей вот таким глупым образом.
Это огроменный риск. И я не готов рисковать данными моих пользователей вот таким глупым образом.
Гарантий полной безопасности, конечно, нет, соизмерять получаемые риски с удобствами от использования технологий, безусловно нужно. И мы все, конечно же, слышали про километры угнанных паролей от фейсбуков и гуглов и (наверное) стараемся самые сокровенные свои данные даже им не доверять. Степень сокровенности у каждого, понятно, своя. Спасибо, что напомнили нам об этом.
Сама идея, для развертывания тестовых штук, на поиграться, на потыкать — огонь. К примеру, сделать конфигуратор — хочу Istio, RBAC, Ingress Nginx (Traefik, HAProxy, etc) и т.п. В общем для того, чтоб не вникать в набор технологий, но пощупать их.
Потом можно уже вникать и разбираться как это все устроено и работает, чтоб перенести на стейдж и прод.
В любом случае — найдутся те, кто будет пользоваться сервисом. Тема хайповая. :)
Потом можно уже вникать и разбираться как это все устроено и работает, чтоб перенести на стейдж и прод.
В любом случае — найдутся те, кто будет пользоваться сервисом. Тема хайповая. :)
Именно! А ещё ведь можно написать bbelky и спросить можно ли развернуть эту штуку «внутри своего периметра безопасности» ;)
Ненене. Разбираться и только… Иначе когда эта штука с грохотом нагребнется (не «если», и именно «когда»), то лечить придется руками и тут уже надо знать что, как, зачем и почему. ;)
Wigin будет Open Source. Просто мы сначала запустили его как сервис, чтобы проверить жизнеспособность самой идеи. Сейчас доделаем деплоилку и выложим на github.
При таком раскладе будет интересно?
При таком раскладе будет интересно?
Вот такой подход более интересен. Код можно проверить, развернуть в своем стеке и деплоить окружения.
Спасибо.
Спасибо.
Заопенсорсили и выложили на gitlab:
Backend: gitlab.com/wiginio/wigin-core
Dashboard: gitlab.com/wiginio/wigin-ui
Велкам!
Backend: gitlab.com/wiginio/wigin-core
Dashboard: gitlab.com/wiginio/wigin-ui
Велкам!
Согласен. Но DO тоже был стартапом, да. Privacy Policy добавим.
Дело не только в Privacy Policy. Там еще куча всего должно быть.
Пример, что будет, если ваша инфраструктура будет скомпрометирована? Будет внедрена закладка в процесс деплоя k8s и эта закладка будет распространяться по серверам клиентов? Ботнет — это самое простое, что я вижу тут. Большой ботнет.
Ну и никто не запрещает потом ей открывать бэкдор, сливать базы данных и все, что угодно. Тем более, что она будет установлена с правами root!
Это абсолютнейший контроль над системой.
Пример, что будет, если ваша инфраструктура будет скомпрометирована? Будет внедрена закладка в процесс деплоя k8s и эта закладка будет распространяться по серверам клиентов? Ботнет — это самое простое, что я вижу тут. Большой ботнет.
Ну и никто не запрещает потом ей открывать бэкдор, сливать базы данных и все, что угодно. Тем более, что она будет установлена с правами root!
Это абсолютнейший контроль над системой.
Помнится, ещё в прошлом веке я видел элктронную записную книжку от Casio, в мануале на которую было написано что-то вроде: «посколько у нас современный высокотехнологичный продукт, то мы вам настоятельно рекомендуем самые ценные ваши записи держать не в нём, а на бумаге».
Хотя бы sudo сделайте, kubespray умеет же в become.
+1
хотя тут телодвижений больше для клиента. Не только ключи разложить, но ещё и пользователя в sudoers добавить.
хотя тут телодвижений больше для клиента. Не только ключи разложить, но ещё и пользователя в sudoers добавить.
Что может быть проще?
useradd -m wigin -s /bin/bash
mkdir -p /home/wigin/.ssh
echo $SSH_KEY > /home/wigin/.ssh/authorized_keys
echo 'wigin ALL=(ALL) NOPASSWD:ALL' > /etc/sudoers.d/wiginДа, да, да, но это надо сделать на каждой машине, которую вы регистритуете в wigin. Надо будет сделать что-то в стиле вот этого.
Да, конечно, вы всё абсолютно правильно говорите. Кто может сам… ну, скажем, переклеить обои и побелить потолок, тот за железной дверью внутри периметра безопасности делает это сам. Кто не может (или не хочет), пользуется услугами специалистов. С определённым риском попасть в какие-нибудь интересные сводки.
Поздравляю, вы изобрели Ansible Tower или Polemarch в SaaS виде :)
Спасибо за поздравления) Так и есть — смысл wigin именно в том, что он сервис, который не нужно деплоить и поддерживать самостоятельно. При этом при желании, можно развернуть его у себя, он же опенсорсный. Такая концепция интересна? Собственно мы его сюда и выложили, чтобы спросить комьюнити, интересен ли такой сервис.
Как селф-хостед решение — возможно. Но лично для меня не вариант, ибо проигрывает тому же Ansible Tower по всем фронтам.
Как часть некого публичного клауда — вполне себе, но как выше написали Privacy Policy и всё такое (хотя это больше к клауду который данный сервис предостовлят).
Как отдельный сервис в чистом виде — однозначно нет, т.к. эта штука получает полный и непрозрачный контроль над моей инфраструктурой (или её частью)
Опенсорсный самое оно ибо очень не хочется давать ssh =)
Хорошо, безусловно, будет опенсорс вариант доступный on-premises. Все-таки в чем привлекательность опенсорс в данном конкретном случае, если сам вигин изначально предполагается как сервис, который из облака? По такой модели работает, например, bitnami, который тоже имеет доступ ко всему в вашем облаке.
Заопенсорсили и выложили на gitlab:
Backend: https://gitlab.com/wiginio/wigin-core
Dashboard: https://gitlab.com/wiginio/wigin-ui
Велкам!
Backend: https://gitlab.com/wiginio/wigin-core
Dashboard: https://gitlab.com/wiginio/wigin-ui
Велкам!
Проект заморожен? Новых коммитов нет, сайт не работает
всё есть, но в другом месте
https://gitlab.com/lean-delivery/ddl-ng/
https://bintray.com/lean-delivery/ddl-ng
но мы немножко поменяли концепцию :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Kubespray-as-a-Service — добавляем Kubernetes к любому облаку