Teleport: Долгоживущий kubeconfig для доверенных кластеров?
Можно ли использовать tctl auth sign --format kubernetes в «основном кластере» для генерации kubeconfig для «доверенного / конечного / удаленного кластера», подключенного к основному кластеру, на котором выполняется tctl ?
2985 упоминает доверенные кластеры, но функция, добавленная в # 2825, не упоминает, как сгенерировать долгоживущий kubeconfig для листового кластера.
cnelson
Все 5 Комментарий
@cnelson сейчас это невозможно, но я согласен, что мы должны это поддержать.
На данный момент вам нужно запустить tctl auth sign на листовом кластере.
Наша дорожная карта для 4.4 / 5.0 / 5.1 сейчас довольно загружена, мы не сможем работать над этим в ближайшем будущем.
Но пиар всегда приветствуется!
awly
30 сент. 2020
Я предполагаю, что самая большая проблема связана с кластерами листьев, у которых нет конечной точки, открытой для всего мира. Нам нужно будет предоставить некоторую логику для установки RouteToCluster в метаданных сертификата.
webvictim
30 сент. 2020
@awly спасибо, что
@webvictim Да, это именно мой вариант использования - листовой кластер доступен только через основной кластер.
cnelson
30 сент. 2020
@awly Очевидно, для этого потребуются тесты, документы и т. д. Но если бы я
https://github.com/gravitational/teleport/compare/master...cultivateai : feat / auth-sign-k8s-leaf? expand = 1
cnelson
1 окт. 2020
@cnelson да, это выглядит примерно правильно.
Мы можем отполировать его во время проверки, если вы откроете PR: ok_hand:
awly
1 окт. 2020
Смежные вопросы
webvictim
·
3Комментарии
webvictim
·
6Комментарии
binoue
·
3Комментарии
awly
·
5Комментарии
webvictim
·
4Комментарии
Самый полезный комментарий
@cnelson да, это выглядит примерно правильно.
Мы можем отполировать его во время проверки, если вы откроете PR: ok_hand: