Andrey
18.02.2018
12:09:16
для изучения
Nikita
18.02.2018
12:09:47
Да, в общем-то главная цель — изучение. Побочная — крутить всякое development окружение
Да NodePort я настроил, даже range для портов расширил для удобства. Но теперь хочется сделать правильнее
Dmytro
18.02.2018
12:12:37
тогда вопросов нет
Google
Dmytro
18.02.2018
12:13:40
а правильне - это понятие относительнее. Если http сервисы и надо чтобы на 80 443 шел траффик и потом по path роутился на разные сервисы - ingress
если tcp сервисы или по path не надо роутить и норм на разных портах - nodeport
Nikita
18.02.2018
12:15:33
Dmytro
18.02.2018
12:16:52
в 1.5 и ниже нет встроенного, в версиях новее не подскажу
Nikita
18.02.2018
12:18:08
Я как-то пропустил и в документации тоже упоминается nginx proxy
Dmytro
18.02.2018
12:41:58
насколько я помню раньше (с год назад) был "официальный" контейнер для ингресса на gcr.io который используется в документации кубернетеса и был от самого нжинкса на докер хабе
и там и там был нжинкс внутри
как сейчас не знаю, не слежу. В опеншифте у них есть свой официальный контейнер с нжинксом для ингресса плюс опять же их собственный контейнер с их форком oauth proxy от bitly чтобы навешивать авторизацию на различные дашоборды типа той же графаны где авторизации и особенно SSO-SAML нет из коробки
Vadim
18.02.2018
13:00:32
Khramov
18.02.2018
13:16:36
О, я тоже логхаус юзаю, только развернул сам кликхаус не в кубе, а на отдельном серваке. Мне нравится гораздо больше чем эластик
Andrey
18.02.2018
13:53:34
Khramov
18.02.2018
13:54:40
Там ещё есть у них пару косяков в дэшборде
Andrey
18.02.2018
13:55:46
Не пара, а их куча :) знаем, будем фиксить. То был poc (альфа). Чуть забили на него, но прямо сейчас вернулись к разработке
Google
Khramov
18.02.2018
13:56:23
К примеру когда сохраняешь запрос в избранное, хотелось бы чтобы и отображаемые ключи сохранялись, а то каждый раз приходится руками выбирать
Andrey
18.02.2018
13:57:27
Пилите на любую проблему/хотелку issue, будем смотреть и допиливать
Khramov
18.02.2018
13:58:53
Будет сделано
bebebe
18.02.2018
14:16:56
Thirumalai
18.02.2018
14:48:37
http://itmithran.com/setting-single-node-kubernetes-cluster-using-minikube/
Maksim
18.02.2018
15:22:30
Само реклама???
Andrey
18.02.2018
15:33:37
Thirumalai
18.02.2018
15:47:54
?
Dmitry
18.02.2018
15:48:48
Nikita
18.02.2018
17:03:05
Ivan
18.02.2018
19:06:34
Я на bare metal вместо nodeport прописываю тип LoadBalancer и забиваю externalIPs, таким образом на нодах с этими IP начинают слушать 80 и 443 порты
Кстати host_gw так и не завелся нормально с kubespray, а vxlan взлетел только после того как на нодах внешний и внутренний интерфейсы местами поменял)
Andrey
19.02.2018
05:08:49
Господа, а кто-нибудь гоняет postgres на k8s?
Andrey
19.02.2018
05:17:09
я, но в одном поде
есть ещё stolon и patroni
Anton
19.02.2018
05:21:11
Andrey
19.02.2018
05:21:33
А что вы используете в качестве PV?
Andrey
19.02.2018
05:23:55
так локальный диск проще всего. Там всё равно не нужен shared storage
Andrey
19.02.2018
05:24:08
Мне бы желательно просто hostPath, но в доках k8s черным по белому написано, что Single node testing only – local storage is not supported in any way and WILL NOT WORK in a multi-node cluster
Andrey
19.02.2018
05:24:44
это для общего случая
Google
Andrey
19.02.2018
05:24:53
А я бы хотел замутить мастер + кучка слейвов
Andrey
19.02.2018
05:25:12
в случае постгреса, у каждого пода свой диск
Andrey
19.02.2018
05:25:14
Anton
19.02.2018
05:25:37
ну у меня котфиг такой - несколько нод - данные хранятся на сомой ноде - не shared их ревлицирует stolon
Andrey
19.02.2018
05:26:16
Хорошо, а как правильно сделать так, чтобы мастер при смерти не решедулился на другую ноду со всеми вытекающими
Andrey
19.02.2018
05:26:38
как раз надо, чтоб решедулился
для этого столон и нужен
если мастер грохнулся (сам под или нода с ним), то столон назначает один из слейвов на роль мастера
Andrey
19.02.2018
05:27:56
я не в курсе, что это, сейчас прочитаю, спасибо
Andrey
19.02.2018
05:28:00
для клиентов это прозрачно, они не коннектятся к мастеру напрямую
Anton
19.02.2018
05:28:20
stolon вещь
Andrey
19.02.2018
05:28:32
коннект идёт через прокси сервис, который в курсе, кто сейчас мастер
Andrey
19.02.2018
05:29:09
разумеется, этот прокси можно и нужно реплицировать?
Andrey
19.02.2018
05:29:26
да
в доке столона есть картинка с диаграммой, там достаточно просто всё
Andrey
19.02.2018
05:30:20
спасибо огромное, буду копать
Evgenii
19.02.2018
07:41:08
Подскажите, как правильно задать в k8s учётку для доступа в eu.gcr.io? Делаю так:
kubectl -n kube-system create secret docker-registry giftery-gcr --docker-server "https://eu.gcr.io" --docker-username _json_key --docker-email admin@foobar.ru --docker-password=$(cat gcr.json)
(пароль это такой JSON)
А если потом декодирую .dockerconf из получившегося секрета - получаю невалидный JSON, часть которого ("auth") тоже декодируется в "_json_key:". И образы конечно не качаются.
Vladyslav
19.02.2018
08:35:45
Создавайте regsecret в одном неймспейсе с деплойментом
Evgenii
19.02.2018
08:51:17
Дело не только в неймспесах, у меня как-то вместо пароля открывающая скобка попадает, это не JSON невалидный.
Let Eat
19.02.2018
09:05:58
Господа, я делаю вывод что никто тут не зопатчился от meltdown, иначе бы тут было сильно больше сообщений, что докер не может остановить контейнеры. Гонка в runc, которая начала проявляться после meltdown патчей. Фикс есть в runc включенном в докер 18.01
Google
Dmitry
19.02.2018
09:09:51
У меня centos 7 с ядром 3.10.0-693.11.6.el7.x86_64 (вроде в нем патч вышел) и докер версии 17.12.0-ce, build c97c6d6 - вроде все окей.
Anton
19.02.2018
09:10:32
Let Eat
19.02.2018
09:10:46
Михаил
19.02.2018
09:10:54
Dmitry
19.02.2018
09:12:37
Let Eat
19.02.2018
09:14:11
Anton
19.02.2018
09:14:33
Merci!
Andor
19.02.2018
09:14:40
Let Eat
19.02.2018
09:23:32
Merci!
Связанный фикс в runc https://github.com/moby/moby/issues/36010
M
19.02.2018
09:50:56
ребят подскажите у меня кластер слушает порт которого нет в сервисах netstat + ps выдают мне строку что это kube-proxy
как мне найти этот сервис который слушает этот порт и увидеть что там происходит
Max
19.02.2018
09:53:28
lsof -i :port (or something similar)
А кто подскажет с какой версии kube-dns подтягивается в эко-систему?
Я поставил 1.5 (по инструкции с сайта), но в запущеных не вижу пода с ДНС. Соответственно не могу находить контейнеры по ДНС или по Имени.
Возможно есть вариант подкрутить консула для автодискавери сервисов или все намного проще?
Alexander
19.02.2018
09:59:00
Max
19.02.2018
09:59:29
Alexander ns —all :)
В том то и дело что нету ... Должен быть из коробки, но я не в клауде сетапил, а в виртуалбоксе для тестов.
Andrey
19.02.2018
10:01:04
Ребят, а куб умеет loadbalancer делать не в облаках, а в чем то более приземлённом вроде nginx или haproxy?
noname
19.02.2018
10:01:24
Подскажите как правильно реализовать кубернетес, чтобы закрыть все порты наружу на сервере кроме 80 и 443. Почитал, что для этого нужен ингресс-нжинкс. пробовал ставить по 3 разным гайдам и получается связка: деплоймент-сервис-ингресс. Но сервис прокидывает на белый ip порты только с 30000, а мне нужны 80 и 443. Или для этой цели нужен нжинкс на хосте с proxy-pass?
Nick
19.02.2018
10:02:44
ингресс делает listen на 80,443 и при запросе роутит на нужный сервис
чтоб закрыть все порты, лучше всего иметь иметь доступ в инет только на ингрес ноде
Google
Anton
19.02.2018
10:03:25
Nick
19.02.2018
10:04:45
Konstantin
19.02.2018
10:04:50
Лушче всего иметь доступ из интернета только на балансере и больше нигде.
noname
19.02.2018
10:05:03
Nick
19.02.2018
10:05:29
посмотри что за nginx правило генерится
в чем проблема
Anton
19.02.2018
10:06:01
Andrey
19.02.2018
10:06:09
для этого и есть ингресс)
Ingress подразумевает что сверху оно еще и балансером накрыто либо в dns указаны все ноды. Вот я и хочу сверху приделать лоадбалансер, но хочется чтоб куб умел им управлять. Я слышал про то что он умеет в гуглклауде и тп это делать, но хочется чтоб он управлял чем то более приземленным, наприсер nginx/haproxy и тп
Nick
19.02.2018
10:08:01
noname
19.02.2018
10:08:31