@k_kinzal おお、こんなまとめが!
見た感じ、唯一NotificationになってるUtilizationは閾値厳しめにして、他は(閾値という概念もなさそうなので)Recordのままでいいかも?って思いました
posted at 23:13:39
ツイートの記録を停止しています
このアカウントはTwitter APIの仕様変更の影響でツイートの記録を停止しています。
記録を再開するには、Twilogにログインしてください。
Stats | Twitter歴 5,768日(2008/06/14より) |
ツイート数 75,196(13.0件/日) |
表示するツイート :
@k_kinzal おお、こんなまとめが!
見た感じ、唯一NotificationになってるUtilizationは閾値厳しめにして、他は(閾値という概念もなさそうなので)Recordのままでいいかも?って思いました
posted at 23:13:39
@k_kinzal 閾値を厳しめにする(サービス影響が出るより前にアラートが上がるようにする)じゃだめですかね?(そもそもLimitに到達してはだめなのだとすれば
posted at 23:05:40
@_inductor_ ざんねん…そこは現状システムか人間にAssumeRoleさせてごまかすくらいしかないように思います(結局クラスタ作成時にはAssumeRoleしないといけないので根本的にはEKSの機能追加待ちですけど、なんもしないよりマシかなと
posted at 22:33:10
@_inductor_ admin userってIAM User的な意味です?
であれば、VPCやIAM周りだけ、別の強い権限持ってるCIか人間さんに作ってもらったら、クラスタの作成にはそんなに強い権限はいらないような気がしてます。
先の「クラスタ作成したIAM User/Roleがcluster-admin」という件については如何ともし難いですが…
posted at 22:27:38
@toricls かわりに強いロールは人間に極力渡さないようにしたり、マルチテナントクラスタを避けてセキュリティ確保しよう、となると、なんも考えずにというのは無理ですが…
posted at 22:21:28
@toricls EKS自体ではなく、IAM関連でハマるような気はしてます。
なんも考えずに強いロールでクラスタ作ったり、ノードのロールをPodから使わせたりしてる分には何も起きないはず…?
posted at 22:18:29
@_inductor_ CFN自体のサービスロール指定してクラスタ作ったら、誰もcluster-adminになれないクラスタができたのはつらかったです。確かにこれは欲しいですよねぇ
https://github.com/aws/containers-roadmap/issues/554…
posted at 22:08:06
@_inductor_ IAMまわりですかね?(興味本位
CFN、EKSのControl-Plane、ノード、Cluster AutoscalerなどのPod、それぞれ渡す権限を細かく設定しようとすると大変そう
posted at 22:03:26
How to Set Up a Kubernetes Clusters with Helmfile - Adobe Tech Blog - Medium https://medium.com/adobetech/how-to-set-up-a-kubernetes-clusters-with-helmfile-4ab7866fc2fc…
posted at 21:27:30
@_inductor_ どのへんに難しみがあるんですかね?(GKEとかと比べてなら、ノードがマネージでないところ…?
posted at 21:22:39
@_inductor_ わかっていただけましたか(良くも悪くもせやなって感じですよねw
posted at 21:12:32
@renjikari これは結構分かりみがありまして…先を行き過ぎて他社事例がまだ少ないんですよね。(比較対象がシェルスクリプトでがんばるとか、terraformでがんばるとか、抽象化/helm諦めるとかなので、絶対数が少ないのは否めず。
社内独自ツールを避けるためのOSSのはずが、いつのまにか逆転してしまった感。
posted at 21:02:37