@kubernetes_ru
M19.02.2018
10:10:24
10:10:24
ребят подскажите, kube-proxy порт доступный из вне но этого порта нет в services и по этому порту можно перейти на /healthz
что это такое и как сконфигурировать или убрать
Айбелив19.02.2018
10:12:53
10:12:53
ребят подскажите, kube-proxy порт доступный из вне но этого порта нет в services и по этому порту можно перейти на /healthz
что это такое и как сконфигурировать или убрать
I'm just curious, is Russian your native language?Айбелив19.02.2018
10:14:27
10:14:27
да понятно, поэтому я и пытаюсь выяснить на каком языке лучше говорить. Потому что русский не совсем понятен.
GoogleM19.02.2018
10:14:41
10:14:41
я хорошо говорю по русски
да понятно, поэтому я и пытаюсь выяснить на каком языке лучше говорить. Потому что русский не совсем понятен.
так что, подскажешь откуда /healthzАйбелив19.02.2018
10:15:27
10:15:27
да я не спорю, но знаки препинания в сообщениях не повредят
6627119.02.2018
10:19:22
10:19:22
Ingress подразумевает что сверху оно еще и балансером накрыто либо в dns указаны все ноды. Вот я и хочу сверху приделать лоадбалансер, но хочется чтоб куб умел им управлять. Я слышал про то что он умеет в гуглклауде и тп это делать, но хочется чтоб он управлял чем то более приземленным, наприсер nginx/haproxy и тп
https://github.com/kubernetes/contrib/tree/master/keepalived-vipАйбелив19.02.2018
10:20:26
10:20:26
kube-proxy обычно имеет hostNetwork: true, вся конфигурация проходит на уровне аргументов
noname19.02.2018
10:21:37
10:21:37
заити в контеинер да глянуть
Проверил конфиги нжинкса все в порядке. и при заходе на порт 31603 который генерится сервисом все работаетАйбелив19.02.2018
10:22:22
10:22:22
noname19.02.2018
10:22:54
10:22:54
так в чём вопрос-то?
nginx-ingress-icm LoadBalancer 10.101.147.36 <pending> 80:31603/TCP 48m
icm-ingress icm.test,auth.icm.test 192.168.131.245 80 2m
(192.168.131.245) в качестве внешнего айпи(хостоывый)вопрос в том чтобы он слушал на 192.168.131.245 ip не 31604 порт а 80
Айбелив19.02.2018
10:23:39
10:23:39
так ответили уже вроде
порты с 30000 выделяются для service NodePort. самый простой способ забиндить ingress-nginx на 80,443 - запустить его с hostnetwork
либо поменять сам range в kube-apiserver флажком --service-node-port-range
Googlenoname19.02.2018
10:28:25
10:28:25
все хзаработало. спасибо большое!
M19.02.2018
10:30:01
10:30:01
kube-proxy обычно имеет hostNetwork: true, вся конфигурация проходит на уровне аргументов
https://pastebin.com/rTxiN0VvАйбелив19.02.2018
10:30:42
10:30:42
hostNetwork: true
не, с gke не сталкивался
у них какой-то свой kube-proxy, либо просто в 1.8.x так стало много всего
M19.02.2018
10:33:48
10:33:48
вот такая штука возвращается
и без понятия где менять значение
Айбелив19.02.2018
10:34:10
10:34:10
да я верю и даже уже ответил как убрать
M19.02.2018
10:34:27
10:34:27
так мне не надо убрать я хочу поменять
Айбелив19.02.2018
10:34:57
10:34:57
ребят подскажите, kube-proxy порт доступный из вне но этого порта нет в services и по этому порту можно перейти на /healthz
что это такое и как сконфигурировать или убрать
> что это такое и как сконфигурировать или убрать
» или убрать
можно форкнуть kube-proxy (думаю, что весь kubernetes придётся) и переконфигурировать как надо
M19.02.2018
10:37:27
10:37:27
можно форкнуть kube-proxy (думаю, что весь kubernetes придётся) и переконфигурировать как надо
так мне интересно кто и как и где размешает это /healthz потому что на каждом возвращаемое значение слегка разноеАйбелив19.02.2018
10:39:44
10:39:44
так мне интересно кто и как и где размешает это /healthz потому что на каждом возвращаемое значение слегка разное
https://github.com/kubernetes/kubernetes/blob/master/cmd/kube-proxy/app/server.go#L465Andrey19.02.2018
10:41:25
10:41:25
ингресс эт и есть лоадбалансер, по сути херовина которая генерит нжинкс правила)
ингресс слушает на разных ip на разных нодах. это по определению не подходит под LBСергей19.02.2018
10:42:05
10:42:05
ингресс слушает на разных ip на разных нодах. это по определению не подходит под LB
2 инжест контроллера с vip и кипаливдAndrey19.02.2018
10:42:44
10:42:44
Айбелив19.02.2018
10:43:04
10:43:04
ингресс слушает на разных ip на разных нодах. это по определению не подходит под LB
смотря с какой стороны посмотреть. Ингресс балансирует трафик внутри, а не снаружиAndrey19.02.2018
10:43:35
10:43:35
GoogleAndrey19.02.2018
10:44:18
10:44:18
смотря с какой стороны посмотреть. Ингресс балансирует трафик внутри, а не снаружи
Ну тут понятно, с какой стороны спрашивающий смотрит, раз проводит аналогии с LB в облаке
Nick19.02.2018
10:44:48
10:44:48
ингресс слушает на разных ip на разных нодах. это по определению не подходит под LB
https://kubernetes.io/docs/concepts/services-networking/ingress/первые две строчки почитай
сам ингресс ничего не балансит, но он говорит как это делать нжинксу
Айбелив19.02.2018
10:45:56
10:45:56
задача ингресса — принять внешний трафик и размазать внутри по ендпоинтам под
Andrey19.02.2018
10:46:30
10:46:30
ясно же, про что спрашивают
про внешний по отношению к кластеру лоадбалансер
а не то, как оно внутри запросы между подами раскидывает
Andrey19.02.2018
10:49:19
10:49:19
Да, суть вопроса была в том чтобы сверху все ноды накрыть балансером. Для доступа снаружи
Andrey19.02.2018
10:49:48
10:49:48
Andrey19.02.2018
10:49:49
10:49:49
Andrey19.02.2018
10:51:10
10:51:10
RTFM
Let Eat19.02.2018
10:54:26
10:54:26
А кто подскажет с какой версии kube-dns подтягивается в эко-систему?
Я поставил 1.5 (по инструкции с сайта), но в запущеных не вижу пода с ДНС. Соответственно не могу находить контейнеры по ДНС или по Имени.
Возможно есть вариант подкрутить консула для автодискавери сервисов или все намного проще?
Просто из любопытства, как так получается что вы новый кластер поднимаете на версии 1.5, когда за окном уже 1.9?
Evgenii19.02.2018
10:54:53
10:54:53
Разобрался с секретом к eu.gcr.io, засунул его в нужный NS, привязал к дефолтному SA. Но всё равно контейнеры не тянутся оттуда. Локально всё тянется. Подскажите, как можно отладить такое?
GoogleLet Eat19.02.2018
10:55:27
10:55:27
M19.02.2018
10:56:18
10:56:18
https://github.com/kubernetes/kubernetes/blob/master/cmd/kube-proxy/app/server.go#L465
спасибо за код, но вопрос все еще откртый, /healthz возвращает какое то значение (а именно он вовзращает запущена ли пода на ноде или нет) вот как мне изменить имя проверяемой подыAndrey19.02.2018
10:57:01
10:57:01
ткни плз носом где это описано, пойду читать)
Я metallb использую, выше советуют "2 инжест контроллера с vip и кипаливд"
https://metallb.universe.tf/Айбелив19.02.2018
10:57:35
10:57:35
в проде юзаешь?
Andrey19.02.2018
10:57:38
10:57:38
Metallb в статусе альфы
Andrey19.02.2018
10:57:47
10:57:47
Я metallb использую, выше советуют "2 инжест контроллера с vip и кипаливд"
https://metallb.universe.tf/
спасибо, посмотрю, почитаю
Anton19.02.2018
11:13:56
11:13:56
единственно что неудобно, что с vip размазать трафик по N машинам чуть сложновато.
собираюсь в проде, в ARP режиме
а есть там возможность один ip на несколько сервисов прицепить?
или несколько ip на разных хостах к одному сервису?хотя первый вопрос как то и без metallb решить можно
а вот несколько ip на один сервис, это интреснее (входящий трафик на N машин размазать)
Vladyslav19.02.2018
11:41:37
11:41:37
W0219 11:40:11.455349 1 x509.go:172] x509: subject with cn=system:kube-scheduler is not in the allowed list: [front-proxy-client]
после деплоя с kubespray такое вылазит, кто сталкивался ?
Ivan19.02.2018
11:43:40
11:43:40
ребят подскажите, kube-proxy порт доступный из вне но этого порта нет в services и по этому порту можно перейти на /healthz
что это такое и как сконфигурировать или убрать
https://kubernetes.io/docs/reference/generated/kube-proxy/
--healthz-bind-addressвсе ж в доках есть
Sergey19.02.2018
11:55:12
11:55:12
глупый вопрос - как лучше организовать накатку миграций базы для приложений (ну и вообще куда пихать что-то что надо запустить непосредственно перед обновлением подов и строго в единственном эксземпляре?
GoogleSergey19.02.2018
11:57:38
11:57:38
c helm еще не разбирался... потому дополнительный вопрос - как разруливать когда нужно раскатывать контейнеры в определенном порядке?
ну допустим есть 4 пода, и мне надо сначала обновить один, потом что-то запустить, потом обновить остальные
Andrey19.02.2018
11:58:09
11:58:09
Тоже страдаем с этим. С Helm единым пока никак.
Кстати, интересно опыт коллег послушать.
Vladyslav19.02.2018
12:02:46
12:02:46
через init containers попробуйте
Andrey19.02.2018
12:21:07
12:21:07
А еще мне интересен вот такой вопрос. Допустим, у меня на серваке с бд закончилось место, и я прифигарил раздел побольше. Есть правильный способ перенести туда hostpath pv, чтобы ничего не сломать?
Andrey19.02.2018
12:28:28
12:28:28
а есть там возможность один ip на несколько сервисов прицепить?
или несколько ip на разных хостах к одному сервису?
да, конечно. И один ip на несколько сервисов, и несколько ip на одинSergey19.02.2018
12:43:29
12:43:29
через init containers попробуйте
а если у меня 10 контейнеров стартуют? как ограничить что бы только один сначала отработал и если с ним все ок то только потом остальные запускать*?
Konstantin19.02.2018
12:46:11
12:46:11
а если у меня 10 контейнеров стартуют? как ограничить что бы только один сначала отработал и если с ним все ок то только потом остальные запускать*?
А вы уверены, что у вас все правильно с точки зрения архитектуры?Vladyslav19.02.2018
12:46:13
12:46:13
Sergey19.02.2018
12:46:25
12:46:25
да
о миграциях
А вы уверены, что у вас все правильно с точки зрения архитектуры?
я уверен что у меня должен быть только один процесс миграции базы данных запущен в одно и то же времяи уверен что сначала миграция а потом раскатить новую версию приложеньки на класстер
Konstantin19.02.2018
12:47:28
12:47:28
Сделайте job'у для миграции, а из процесса раскатки приложения уберите это
Vladyslav19.02.2018
12:47:29
12:47:29
отдельной джобой миграции накатывайте
Открыть в Telegram