смотрят куда ведет дефолтный гейт и с этого интерфейса берут айпи

sudo iptables-save | grep simpleservice -A KUBE-SEP-4SQFZS32ZVMTQEZV -s 172.17.0.3/32 -m comment —comment "default/simpleservice:" -j KUBE-MARK-MASQ -A KUBE-SEP-4SQFZS32ZVMTQEZV -p tcp -m comment —comment "default/simpleservice:" -m tcp -j DNAT —to-destination 172.17.0.3:9876 -A KUBE-SERVICES -d 172.30.228.255/32 -p tcp -m comment —comment "default/simpleservice: cluster IP" -m tcp —dport 80 -j KUBE-SVC-EZC6WLOVQADP4IAW -A KUBE-SVC-EZC6WLOVQADP4IAW -m comment —comment "default/simpleservice:" -j KUBE-SEP-4SQFZS32ZVMTQEZV

а это так выглядит

Круто, спасибо

да нет за что

http://kubernetesbyexample.com/

Там у сафарибукс киберпонедельник

при условии что у конторы много денег — какие бенефиты использовать кубер, а не амазоновский ECS?

Ec2?

Вендор лок

ну понятно что вендорлок, а кроме него

Вендор лок

А как жи истио

Это по-моему основное

Остальное детали

Подскажите, при создании kube-dns под не создается. В логах это Error from server (BadRequest): a container name must be specified for pod kube-dns-v20-l36mw, choose one of: [kubedns dnsmasq healthz]

как победить?

Взять пример из репы кубера и сравнить со своим? :) Я так, в качестве размышления.

Взять пример из репы кубера и сравнить со своим? :) Я так, в качестве размышления.

так я по образу репы и настраивал))

Ну, имя указал для пода? :)

Форматирование не сбилось? (Я хз будет кубектл на это ругаться или нет)

Какой у вас проект или где работаете? DevOps Maximatelecom ▫В чём вы специалист? Linux, ansible, docker, bamboo (и много где по чуть-чуть). ▫Чем можете быть интересны или полезны сообществу? Могу прислать смешной стикер или съюморить отсылкой к рику и морти. ▫Чем интересно сообщество вам? Внедряю у себя k8s. ▫Откуда вы? Москва ▫Как узнали про группу? От KrivdaAllStars. #whois

* это что такое?

имел в виду что nodePort на всех интерфейсах начинает слушать. кроме миникуба пока нет ничего, проверить даж негде.

sudo iptables-save | grep simpleservice -A KUBE-SEP-4SQFZS32ZVMTQEZV -s 172.17.0.3/32 -m comment —comment "default/simpleservice:" -j KUBE-MARK-MASQ -A KUBE-SEP-4SQFZS32ZVMTQEZV -p tcp -m comment —comment "default/simpleservice:" -m tcp -j DNAT —to-destination 172.17.0.3:9876 -A KUBE-SERVICES -d 172.30.228.255/32 -p tcp -m comment —comment "default/simpleservice: cluster IP" -m tcp —dport 80 -j KUBE-SVC-EZC6WLOVQADP4IAW -A KUBE-SVC-EZC6WLOVQADP4IAW -m comment —comment "default/simpleservice:" -j KUBE-SEP-4SQFZS32ZVMTQEZV

ну я так понимаю управлять этим поведением нельзя? если есть несколько адресов на интерфейсе или интерфейсов много

Гляньте в код

Вроде кучка была куда натить

Ну а вообще я выше писал, почти все такие системы смотрят куда дефолт ноут ведёт, и с этого интерфейса берут айпи для ната

И это разумно

подскажите пожалуйста куда копать если в подах не работает DNS? $ kubectl —namespace=kube-system exec -ti kube-dns-2425271678-37p91 — nslookup ya.ru 127.0.0.1 ... Server: 127.0.0.1 ... Name: ya.ru Address 1: 87.250.250.242 ya.ru —---------------------— $ kubectl exec -ti busybox — nslookup ya.ru Server: 10.96.0.10 ... nslookup: can't resolve 'ya.ru'

ху из 127.0.0.1 ?

копать kube-dns

заработало после iptables -P FORWARD ACCEPT на ноде :-/

а почему у тебя форвард был закрыт?

)

kube разве не рулит iptables?

куб нет

cni - да

лан троллю

flannel стоит...

так я троллил же)

фланель заведует только оверлейной сеткой

а kubeproxy - айпиеблсом

а что за система?

не цементось какая-то с фаерволд который чет по деволту решил закрыть форвард?

в общем, на нодах надо прописывать '-P FORWARD ACCEPT' получается т.к. куб этим не рулит?

система - ubuntu-16.04. несколько виртуалок на qemu чтобы разобраться как это всё правильно готовить )

странно не было на бубунте проблем с айпитеблс под кубером

ща еще ноду собиру и посмотрю га каком этапе DROP получается в FORWARDe

ну куб прокси обсолютно легально может поставить дроп

по дефолту

просто он дл якаждой сети должен будет ацепт сделать

ага, после 'apt install docker-ce'

забавно

Подскажите, при создании kube-dns под не создается. В логах это Error from server (BadRequest): a container name must be specified for pod kube-dns-v20-l36mw, choose one of: [kubedns dnsmasq healthz]

Чтобы логи посмотреть ему ещё нужно имя контейнера указать (там три контейнера в поде): kubectl logs kube-dns-v20-l36mw -c [kubedns|dnsmasq|healthz]

так докер для кубера с айпитейбл фолс надо запускать

ага, после 'apt install docker-ce'

а ты ce ставил) тогда всё понятно

А есть ли какие-нибудь книжки в epub или pdf по куберу на русском?

зачем?

сайт кубернетса и в перед

с его активной разработкой книга по куберу устареет сразу после ее публикации

хард вей от кейси что бы понимать как там и вче ставится и между собой работает

хард вей от кейси что бы понимать как там и вче ставится и между собой работает

Хотя да, так лучше, наверное, будет

https://github.com/kelseyhightower/kubernetes-the-hard-way Оно?

да

так докер для кубера с айпитейбл фолс надо запускать

У меня на одной ноде работает gitlab-ci-multi-runner. На этой ноде у меня стоит iptables=true для докера, ибо, в противном случае, поды, созданные мульти-раннером, не имеют доступа в интернет. Не знаю почему и кто виноват, но только так работает.

мибо мультираннер не добавляет записи в форвард таблицу

ибо он полагается на то, что это докер сделает

Думаю, второе.

а докер не делает ибо кубер и докер с айтипеблс- фалс

не это я рассказал почему

я это все раскапывал)

а при падении одной из нод кубер не должен разве перекидывать поды на живые ноды? запускаю через ReplicationController...

а при падении одной из нод кубер не должен разве перекидывать поды на живые ноды? запускаю через ReplicationController...

По моему должен. Если не стоит nodeSelector.

ага, перекинул 2 реплики nginx.. но суммано зарегано 3 реплики - 2 живых и 1 в состоянии Unknown на ноде, которую зашатдаунил... ща разбираюсь как подчистить эти хвосты...

Я недавно поднимал фланель с докером на центос и тоже наткнулся на дроп по умолчанию в форварде

Так у докера с какого то релиза по умолчанию дроп на форвард и народ много и долго бугуртил на этот счёт

Что докер охуел монопольно брать в оборот фаэрвол

а есть какая-то волшебная команда чтобы убрать сходшую ноду из кластера? что-то не гуглится :-/

delete node =)

kubectl delete node ?)

сначала похоже надо было kubectl cordon node01 сказать, иначе не хотело :-/

По идее ему пофигу,должен был удалить :)

По идее ему пофигу,должен был удалить :)

он мог решить, что на нём поды, и после команды delete ждать, когда поды уедут

Разве когда она в Unknown статусе, он ждет?

cordon вызывает перезд подов с заблокированной ноды. cordon эти типо maintance

там 3 таймера

Ну кордон да, это более правильное выключение

1й определяет время обновления статусы ноды 2й ждёт, типо вдруг нода вернётся 3й это время переезда подов

где-то была статья про все три таймера

где-то была статья про все три таймера

Было бы круто если ты ее нашел, почитать бы

ТОгда жди) пошёл искать