Helm - Kubernetes пакетінің менеджері, мысалы apt-get Ubuntu үшін. Бұл жазбада біз кластерге қол жеткізетін әдепкі бойынша орнатылған таяқша қызметі бар рульдің алдыңғы нұсқасын (v2) көреміз.
Кластерді дайындаймыз, ол үшін пәрменді орындаңыз:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Көрсетілім
- Қосымша ештеңе конфигурацияламасаңыз, helm v2 толық кластер әкімшісі құқықтарымен RBAC бар тігу қызметін қосады.
- Атау кеңістігінде орнатқаннан кейін
kube-systemпайда боладыtiller-deploy, сонымен қатар 44134 байланыстырылған 0.0.0.0 портын ашады. Мұны telnet арқылы тексеруге болады.
$ telnet tiller-deploy.kube-system 44134
- Енді сіз өңдеуші қызметіне қосыла аласыз. Біз рульдік екілік жүйені өңдеу қызметімен байланысқан кезде операцияларды орындау үшін қолданамыз:
$ helm --host tiller-deploy.kube-system:44134 version
- Кубернетес кластерінің құпияларын аттар кеңістігінен алуға тырысайық
kube-system:
$ kubectl get secrets -n kube-system
- Енді біз өз диаграммамызды жасай аламыз, онда біз әкімші құқықтары бар рөл жасаймыз және бұл рөлді әдепкі қызмет тіркелгісіне тағайындаймыз. Осы қызмет тіркелгісіндегі таңбалауышты пайдалана отырып, біз кластерге толық рұқсат алдық.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- Енді қашан
pwnchartорнатылған болса, әдепкі қызмет тіркелгісі толық әкімшілік қатынасқа ие. Құпияларды қалай алуға болатынын тағы бір рет тексерейікkube-system
kubectl get secrets -n kube-system
Бұл сценарийдің сәтті орындалуы тіллер қалай орналастырылғанына байланысты; кейде әкімшілер оны әртүрлі артықшылықтармен бөлек аттар кеңістігінде орналастырады. Helm 3 мұндай осалдықтарға сезімтал емес, себебі... оның ішінде жыртқыш жоқ.
Аудармашының ескертуі: Кластердегі трафикті сүзу үшін желілік саясаттарды пайдалану осы түрдегі осалдықтардан қорғауға көмектеседі.
Ақпарат көзі: www.habr.com