там будут лежать секреты/проперти

kubectl get storageclasses

покажите

а кластера же нет еще)

ну я руками его создал, даже запустил там simpleHttpServer

➜ ~ kubectl get storageclasses NAME TYPE standard (default) kubernetes.io/gce-pd

там будут лежать секреты/проперти

Лучше secrets и использовать. Либо сторонний vault

но понимания от этого не прибавилось

Привет всем! История такая: Поднял у себя кубы из 4х нод, по инструкции: ( https://www.linuxtechi.com/install-kubernetes-1-7-centos7-rhel7/#comment-1221 ). Поставил дашбоард. Пытаюсь развернуть consul по инструкции: (https://github.com/kelseyhightower/consul-on-kubernetes ), но уперся в то, что после шага: kubectl create -f statefulsets/consul.yaml # kubectl get pods,rc NAME READY STATUS RESTARTS AGE po/consul-0 0/1 Pending 0 9m Дашбоард говорит, что: PersistentVolumeClaim is not bound: "data-consul-0" (repeated 4 times) Ямл волюма: https://pastebin.com/LbSUQ4r6

мб как-нибудь закреэйтить отдельно волюм?

Добрый день господа. А подскажите пожалуйста как проще всего деплоить приложение в google container engine с помощью terraform?

деплой приложения в куб производится через kubectl и аналоги. безусловно, можно подцепить что-то еще на апишку кубера, но совершенно точно не нужно это делать через инструмент провизии хостов.

там будут лежать секреты/проперти

у куба есть встроенный функционал по хранению и предоставленнию секретов приложениям, при использовании вольюм не потребуется

мб как-нибудь закреэйтить отдельно волюм?

если нету dinamic provision то да..ручками надо

Судя по ману, должно само все запилиться

Однако

видимо уних там был настроен dinamic volume provision

при запуске стейтфулстет зависает в 'init1/2' - похоже на ошибку в initcontainers... а как ее можно отдебажить? где-то логи выцепить?

и они забыли об это сказать)

Это сплош и рядом в доках по куберу в частности и по Опен Сурсу в принцепе

при запуске стейтфулстет зависает в 'init1/2' - похоже на ошибку в initcontainers... а как ее можно отдебажить? где-то логи выцепить?

describe и логах на ноде....

эх, в describe нет ничего, в journalctl на ноде ничего непонятно но навскидку ничего необычного ?

а тут правда такой простой деплоймент?) kubectl create -f <file> kubectl describe deployment <name>

Сейчас подеплоить в гугл и все даже заработало

да, я тоже на это купился в свое время ? беги пока не поздно... (шутка)

эх, в describe нет ничего, в journalctl на ноде ничего непонятно но навскидку ничего необычного ?

хм...

не может быть)

методом исключения я понял в чем ошибка - рединесчек не срабатывал

но почему контейнер не инициализировался из-за этого и где я это должен был увидеть так и не понял

скорее всего какая-то хитрая логика в сайдкаре, типа ждет чека... но есть не чисто кубернетес ишью

отличный бот

отличный бот

заебись да страдания закладчиков

боги маркетинга конечно

кто-нибудь поднимал gitlab-runner в кубере?

https://gitlab.com/gitlab-org/gitlab-ce/issues/37807 - у меня подобная проблема

думаю проблема не в к8с

у меня все ок

токен верный?

надо взять токен из гитлаба -> сделать gitlab-runner register с ним -> использовать сгенерированный /etc/gitlab-runner/config.toml

засунуть токен из гитлаба сразу в config.toml не выйдет

@azalio

вручную получилось зарегить да

но фигня это какая-то извините ) @drubtsov

но фигня это какая-то извините ) @drubtsov

поч?

вручную ходить на созданный под чтобы регистрировать руннер

такая архитектура раннера

я локально в докере запускаю, генерирую конфиг и сую в контейнер

сам конфиг генериться

в том то и дело

с помощью конфиг-мапа

но если вручную на под не сходить - ничего не получается

и потом конфиг-мап опять применяется, хм

и опять 403

пойду сравнивать файлы

оу, оно токен другой выписывает, не тот который дается на страничке в гитлабе. Он получается только для регистрации ноды

ну исправь конфиг мап в соответствии с конфигом

оу, оно токен другой выписывает, не тот который дается на страничке в гитлабе. Он получается только для регистрации ноды

именно

ппц не натурально )

Господа развертываеющие кубернетис, а на какой версии докера вы это делаете? а то я нашел что они рекомендуют 1.12.6 https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG.md#external-dependency-version-information

его ж еще выкапывать из архивов приходится

1.8 beta поддеживает docker 1.13.х уж не знаю можно ли доверять их бетам

они уже умеют и без докера)

ну так к свединию

они уже умеют и без докера)

в cri-o storage drivers годичной давности, без фиксов в devicemapper

так девайс маппер они сильно не рассматривают как сторедж

А что тогда рассматривают?

сейчас оверлейфс активно развивают и популизируют

у них сейчас в его сторону идет активная разработка

а вот еще вопрос: template: metadata: labels: chart: "{{ .Chart.Name }}-{{ .Chart.Version }}" app: {{ template "fullname" . }} component: data ... affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - topologyKey: "kubernetes.io/hostname" labelSelector: matchLabels: component: data app: "{{ template "fullname" . }}" однако, при обновлении кластера (перезпуске нод) все поды скопились на одной ноде я чего-то недопонимаю в шедулинге, или где-то косяк у меня в описании антиаффинити?

вопрос снимается с повестки дня, походу конфиг правильный просто старая версия раскатывалась на кластере в которой не предусмотрены антиаффинити

Привет народ. А подскажите пожалуйста в чем проблема. Создал nfs волум в gce, и попытался примонтировать вот так: volumeMounts: - mountPath: /tmp name: backend-pd volumes: - name: backend-pd gcePersistentDisk: pdName: gce-nfs-disk fsType: ext4

на что получил: Error syncing pod, skipping: timeout expired waiting for volumes to attach/mount for pod "default"/"backend-1705969757-m7tzp". list of unattached/unmounted volumes=[backend-pd]

разобрался

вопрос по projected volume, тут https://kubernetes.io/docs/api-reference/v1.7/#secretprojection-v1-core сказано: If specified, the listed keys will be projected into the specified paths но чет не удается туда что то кроме строки задать: error validating data: expected type string, for field spec.template.spec.volumes[0].projected.sources[1].secret.items[0].key, got slice

Привет, всем! У меня сетка flannel. Контейнеры находящиеся на разных узлах не видят друг друга, при этом видят шлюзы. Может кто сталкивался. Не могу понять в чм причина. :(

сетка не работает

шлюз находится на той же машине, а вот l3 уже не работает.

смотри что творится на фаервалле и tcpdump что есть на интерфейсах

Привет, всем! У меня сетка flannel. Контейнеры находящиеся на разных узлах не видят друг друга, при этом видят шлюзы. Может кто сталкивался. Не могу понять в чм причина. :(

Iptables forward политика какая?

Iptables forward политика какая?

DROP, но iptables у меня отключен

как он может быть отключён????

ipfilter это часть ядра линукс

ты не можешь выключить его, только пересборкой яюра и выключением части модулей

я имею в виду загрузку скрипта /etc/sysconfig/iptables

правда они так глубоко прописаны в сетевой стек того же яжра, что я не уверен, что сеть после этого вообще заработает

что говорит iptables -L

Chain FORWARD (policy DROP 2 packets, 184 bytes) pkts bytes target prot opt in out source destination 807 66738 DOCKER-ISOLATION all — * * 0.0.0.0/0 0.0.0.0/0 798 65982 DOCKER all — * docker0 0.0.0.0/0 0.0.0.0/0 2 168 ACCEPT all — * docker0 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 9 756 ACCEPT all — docker0 !docker0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all — docker0 docker0 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 2 packets, 184 bytes)

через DROP прошло всего 2 пакета, а пинги на удаленные узлы я запускал сотню раз

Поставь ACCEPT

и два у тебя правила не пропускают flannel

только докер

так что всё норм

я вижу что прописаны правила для входа-выхода покетов сквозь docker0

и всё

остальное в drop

и я просил iptables -L

а не iptables -L FORWARD