Можно ли использовать tctl auth sign --format kubernetes
в «основном кластере» для генерации kubeconfig для «доверенного / конечного / удаленного кластера», подключенного к основному кластеру, на котором выполняется tctl
?
@cnelson сейчас это невозможно, но я согласен, что мы должны это поддержать.
На данный момент вам нужно запустить tctl auth sign
на листовом кластере.
Наша дорожная карта для 4.4 / 5.0 / 5.1 сейчас довольно загружена, мы не сможем работать над этим в ближайшем будущем.
Но пиар всегда приветствуется!
Я предполагаю, что самая большая проблема связана с кластерами листьев, у которых нет конечной точки, открытой для всего мира. Нам нужно будет предоставить некоторую логику для установки RouteToCluster
в метаданных сертификата.
@awly спасибо, что
@webvictim Да, это именно мой вариант использования - листовой кластер доступен только через основной кластер.
@awly Очевидно, для этого потребуются тесты, документы и т. д. Но если бы я
https://github.com/gravitational/teleport/compare/master...cultivateai : feat / auth-sign-k8s-leaf? expand = 1
@cnelson да, это выглядит примерно правильно.
Мы можем отполировать его во время проверки, если вы откроете PR: ok_hand:
Самый полезный комментарий
@cnelson да, это выглядит примерно правильно.
Мы можем отполировать его во время проверки, если вы откроете PR: ok_hand: