@kubernetes_ru
Maksim22.09.2017
13:25:05
13:25:05
Сергей22.09.2017
13:26:31
13:26:31
Ну я выше писал одну историю с доклада
ну и сугубо по классике жанра - кбуре с калико общаются между собой по апи, а не через базу, разнеся на два разных кластера - можно исключить потерю всех данных из-за сбоя в одном компоненте
Let Eat22.09.2017
13:30:19
13:30:19
вот мне интересно почему они так рекомендуют)
я бы тоже рекоммендовал в документации так. меньше вопросов в рассылку будетGoogleLet Eat22.09.2017
13:30:49
13:30:49
ну и сугубо по классике жанра - кбуре с калико общаются между собой по апи, а не через базу, разнеся на два разных кластера - можно исключить потерю всех данных из-за сбоя в одном компоненте
если руками в calicoctl не лезть, то все данные котоыре хранит калико есть уже в kube apiСергей22.09.2017
13:32:11
13:32:11
сбой в кубере или калико - удаляет все данные из etcd от /, разнеся базы на разные кластеры - геморой получаешь только в одном месте
хотя бы даже из этих соображений
второй момент - все же болшие кластера кубернетса
на сотню другу машин и на тыщу другую сервисов
Let Eat22.09.2017
13:33:50
13:33:50
сбой в кубере или калико - удаляет все данные из etcd от /, разнеся базы на разные кластеры - геморой получаешь только в одном месте
интересно, что в etcd есть acl, но ни один гайд или открытая разворачивалка кластеров не использует ихСергей22.09.2017
13:34:13
13:34:13
да много интересных моментов
любая разворачивался вообще не учитывает и не дает вохможности подтюнит систему до момента деплоя
тупо сисцтл подкрутить
лимиты
просто дергаем вируталку в амазоне и понеслась пиписька женская по кочкам
Let Eat22.09.2017
13:35:07
13:35:07
любая разворачивался вообще не учитывает и не дает вохможности подтюнит систему до момента деплоя
kube-aws позволяет, за это и любим :)Сергей22.09.2017
13:35:27
13:35:27
kube-aws что-то мне не зашел, не помню из-за какой проблемы
GoogleLet Eat22.09.2017
13:36:34
13:36:34
единственная тулза которая весь конфиг нормльно рендерит в файлы, потом можно его в гит закатать и при этом подтягивать обновления из свежих версий при этом не теряя своих правок
Сергей22.09.2017
13:37:52
13:37:52
ну с копс по факту тоже можно подредачить клоудформейшин что он создает
но я его не знаю, к сожалению или к счастью
и все равно я хочу как=то более удобно сие дело делать
да и вообще, смотря всякие там деплоилки, я сейчас не про кубер только, зачастую ловишь себя на мысли, что их пишут люди далекие от эксплуатации
Let Eat22.09.2017
13:40:14
13:40:14
ну с копс по факту тоже можно подредачить клоудформейшин что он создает
копс да, но там оно уже все оттемплейчено, в kube-aws в файлах еще лежат удобоваримые темплейтыт.е. оно git merge friendly
Сергей22.09.2017
13:40:46
13:40:46
может еще раз сесть за kube-aws вот не могу вспомнить что не так было
спасибо за инфу ценную
Let Eat22.09.2017
13:46:28
13:46:28
вот тут описал возможный workflow https://github.com/kubernetes-incubator/kube-aws/issues/462
Maksim22.09.2017
13:52:25
13:52:25
кому интересно - решил проблему.
оказывается в kube-apiserver.yaml нехватало опции
- —storage-backend=etcd2
?
Это не решение проблемы. Скорее всего у вас просто etcd2. Кубер с версии 1.6 рекомендует использовать etcd3. А данная опция добавлена для совместимостиСергей22.09.2017
13:52:27
13:52:27
пошел читать)
Ivan22.09.2017
13:57:33
13:57:33
Это не решение проблемы. Скорее всего у вас просто etcd2. Кубер с версии 1.6 рекомендует использовать etcd3. А данная опция добавлена для совместимости
ну решение это или не решение - это философский вопрос. у меня он после этого запустился))Maksim22.09.2017
13:58:09
13:58:09
есть вариант что чуть позже поддержку etcd2 отменят во все
Сергей22.09.2017
14:05:23
14:05:23
вместо решения проблемы - делаем костыль
завтра деприкейд 2 версии етсд
послезавтра выпил в новых версиях
релиз нотосы мы не читаем
новый пост тут, ничего не работает, что делать?
GoogleСергей22.09.2017
14:11:53
14:11:53
ну я как раз про то, что причина до конца не была выяснена, но нашли костыль и радуются
https://cs5.pikabu.ru/post_img/big/2015/12/04/5/1449210847155432089.jpg
Ivan22.09.2017
14:14:33
14:14:33
Vitaliy22.09.2017
14:14:51
14:14:51
у кого есть опыт:
вот допустим случилось ужасное, мастер-ноды легли (скажем конективити или просто они дохнут все разом).
ясно что kubelet/kubectl и прочее важное не работает... но что происходит с приложениями/подами уже запущенными в кластере? что должно ожидаемо отвалиться?
Maksim22.09.2017
14:15:07
14:15:07
Ivan22.09.2017
14:16:12
14:16:12
а на кой тогда корось нужна?
у неё же всё типа протестировано на совместимость.
и тут такой косяк - по официальным мануалам надо допиливать самому.
помоему это косяк короси!
Maksim22.09.2017
14:16:27
14:16:27
у кого есть опыт:
вот допустим случилось ужасное, мастер-ноды легли (скажем конективити или просто они дохнут все разом).
ясно что kubelet/kubectl и прочее важное не работает... но что происходит с приложениями/подами уже запущенными в кластере? что должно ожидаемо отвалиться?
kubelet продолжает работать, и поды и сервисы, просто ты получаешь такой статичный кубер, в котором не возмыжны ни какие изменения (в том числе рестатр подов по хелсчекам и т.п.)Ivan22.09.2017
14:16:41
14:16:41
послезавтра выпил в новых версиях
обновится корось - обновится всё. и далее, если опять по мануалам будет косяк, как сейчас - то да, придётся разбиратьсяVitaliy22.09.2017
14:17:08
14:17:08
яж и говорю что не работает.. именно в этом плане (все статично) но то что сам процесс работает - эт ясно
Ivan22.09.2017
14:17:11
14:17:11
у меня Атомик) етцд в контейнере
у меня будет и в контейнере в том числе. но и бортовые коросные етцд я тоже используюСергей22.09.2017
14:17:49
14:17:49
КорьОСЬ - это косяк
Maksim22.09.2017
14:18:20
14:18:20
Ivan22.09.2017
14:18:24
14:18:24
Сергей22.09.2017
14:19:23
14:19:23
Вы ее еще накушаетесь)
Let Eat22.09.2017
14:22:17
14:22:17
у меня Атомик) етцд в контейнере
в DC? у них документация куцая и kubernetes 1.5 в репах. может места знать надо, а я не нашел?Maksim22.09.2017
14:22:56
14:22:56
Я взял атомик. Взял hyperkube написал свои юниты и свой etcd
От Шляпы у меня только фланнел. Хотя вот чё-то задумался сменить его на калико...или хотя бы понюхать это самое калико
Eugene22.09.2017
14:23:51
14:23:51
Фланнел от шляпы?
GoogleMaksim22.09.2017
14:24:09
14:24:09
ну всмысле из репы -)
Ivan22.09.2017
14:25:39
14:25:39
Вы ее еще накушаетесь)
ну я хз... два года в проде - всё норм.
правда там версия старая и обновлять её пока не собираются))Сергей22.09.2017
14:28:00
14:28:00
всего два
лан то все фигня, как вы хоть системные метрики собираете с хоста, хотя бы тот же рост бэклога
Let Eat22.09.2017
14:30:44
14:30:44
netdata privileged daemonset
Сергей22.09.2017
14:31:36
14:31:36
не мне надо собрать со всех хостов, отправить в коллектор, отризовать графики
privileged - опять же костыль
Let Eat22.09.2017
14:32:12
14:32:12
ну, таков тренд
Сергей22.09.2017
14:32:16
14:32:16
я против вообще пускания чего либо в докер если надо privileged
ну тренд в корьоси и тп осях
Vitaliy22.09.2017
14:34:49
14:34:49
не понял
имею ввиду что пока вроде понятно что должна быть статичность. но на работающих подах как-то отразится недоступность мастеров? к примеру сеть между хостами/подами? резолвы ? что-то такое что помещает работать до восстановления мастеровMaksim22.09.2017
14:35:35
14:35:35
ну за сеть отвечает либо фланнел либо калико, либо что-то ещё..они живут своей жизнью им на кубер пофигу
Maksim22.09.2017
14:36:20
14:36:20
резолвы это опять же dns процесс, который живёт на сети.....
так что в принцепе ничего там не происходит
Сергей22.09.2017
14:36:29
14:36:29
нахера мне тогда контейнер, если мне надо дать контейнеру привилигированный дсотуп к системе
Vitaliy22.09.2017
14:36:32
14:36:32
у нас weave.. хорошо что пофиг... но таки это размышления или опыт?
Maksim22.09.2017
14:36:35
14:36:35
у меня как то мастер почти сутки валялся))
Сергей22.09.2017
14:36:48
14:36:48
Короче это полемика: я уже не раз в ней участвовал - не хочу
Maksim22.09.2017
14:36:54
14:36:54
я понял, только когда полез деплооить новый аппликатив)
GoogleLet Eat22.09.2017
14:37:59
14:37:59
нахера мне тогда контейнер, если мне надо дать контейнеру привилигированный дсотуп к системе
ну как, одной строчкой запустить мониторинг везде (daemonset) , удобно же.контейнеры они же не только про изоляцию
Maksim22.09.2017
14:38:45
14:38:45
ну как, одной строчкой запустить мониторинг везде (daemonset) , удобно же.
или тот же flannel/calico и т.п.Сергей22.09.2017
14:38:47
14:38:47
чем оно удобнее нативного клиента системы мониторинга в системе, который доставляется системой управления конфигурациями?
Maksim22.09.2017
14:39:35
14:39:35
у нас weave.. хорошо что пофиг... но таки это размышления или опыт?
Опыт, я когда делал тестовое облако, не замечал падения аписервера почти сутки)Сергей22.09.2017
14:39:46
14:39:46
окей мне perf top тоже из под привилигированного контейнера предлагаете запустить?
или сейчас попытка разобраться в причине проблемы - маветон? тупо пристреливаем инстанс и апаем новый?
Let Eat22.09.2017
14:40:33
14:40:33
чем оно удобнее нативного клиента системы мониторинга в системе, который доставляется системой управления конфигурациями?
тем, что не нужна систма управления конфигураций. нужен куб и он рулит всем: от мониторинга до бекаповMaksim22.09.2017
14:40:39
14:40:39
или сейчас попытка разобраться в причине проблемы - маветон? тупо пристреливаем инстанс и апаем новый?
ну в случае микросервиса да)Сергей22.09.2017
14:40:53
14:40:53
таки да?
Let Eat22.09.2017
14:41:14
14:41:14
окей мне perf top тоже из под привилигированного контейнера предлагаете запустить?
оно не зрааботает. есть тикет, то никто этого не хочет. можно сделать pr и добавить perf, тоже хочу. недавно tcpdump нативный так добавили в coreosСергей22.09.2017
14:41:29
14:41:29
ВОт именно
Let Eat22.09.2017
14:41:37
14:41:37
но для pr надо его ходя бы попробывать, а разбираться coreos sdk лень )
Сергей22.09.2017
14:41:59
14:41:59
В случаи микросервисов отстрел ноды на которой есть проблема - это отвал всех клиентов, которых эта проблема на прямую не затронула
Let Eat22.09.2017
14:42:09
14:42:09
но в целом направление мне нравится - все в кубе. вообще все. итолько минимальная прослойка в неизменямой системе
Сергей22.09.2017
14:42:40
14:42:40
не все в куюе - хер с ним, я не понимаю такого желания сделать кастрат систему под ним)
в которй все хорошо, пока не плохо)
пойду чаю выпью
Let Eat22.09.2017
14:43:34
14:43:34
кастрат чтобы не было соблазнов туда ансиблом лезть и крутить файлики. о которых потом никто ничгео не помнит
Let Eat22.09.2017
14:44:06
14:44:06
другими словами, из самооограничений рождается более надежное решение
Открыть в Telegram