Я знаю вы тут все у мамки профессиональные девопс-инженеры, так что давайте объясняйте мне:
Почему все делают вид, что гонять управлялку веб-сервером работающим на ingress и сам веб-сервер, торчащий голою жопою в мир, в одном поде и одном контейнере это нормально? При этом давая роли ingress-контроллера права на доступ ко всем секретам в кластере.
Потому что они де используют кластерные секреты для хранения паролей от basic-авторизации и сертификатов.
Причём это нормально не выпиливается. Если пытаешься какой-нибудь traefik на ингрессе ограничить в RBAC только сабсетом секретов - эта хуйня продолжает просить всё и ломается. В лучшем случае её можно ограничить неймспейсом (но тогда и ingressroute она ест только из этих неймспейсов).
Та же хуйня с haproxy.
У nginx-ingress (официально рекомендуемая срака, ага) в дефолтном конфиге ещё и права на создание секретов добавлены.
@stiletto зато вебскейл