вот этот контейнер(ы) ингресса и будет висеть на 80 и 443 а потом роутить

Для железа (VPS ведь как железо?) что лучше подойдёт?

для железа обычно нужно что-то вне кластера что будет роутить траффик на все ноды кластера. Т.е. сервис создается как NodePort и потом он торчит на порту 30ххх на всех нодах

и вот теперь нужен F5 load balancer, metallb, еще что-то что раскидает траффик на все ноды

второй вариант без чего-то лоад балансирующего перед кластером - это External IP, т.е. нужно снаружи как-то направить траффик на одну ноду кластера (или несколько) https://kubernetes.io/docs/concepts/services-networking/service/#external-ips

но тогда это нода будет по сути лоадбалансером и раскидывать на траффик на другие ноды где бежат контейнеры

и вылазят все стандартные проблемы - доп сетевая нагрузка на ноду, если нода падает а айпи ноды в днс стоит то либо обновлять днс либо переводить айпи на другую ноду(?) и т.д. и т.п.

+ если SSL то нагрузка на CPU на этой ноде пойдет (но это и в случае лоадбалансера перед кластером может быть и можно роутить tcp а потом в самом контейнере делать ssl offload - есть варианты)

народ как стягивать имэйдж с ECR - чет я застрял =\

Dmytro спасибо, примерно понял опции

народ как стягивать имэйдж с ECR - чет я застрял =\

? С чем

пушу имэйж в ecr aws , потом апплаю yml , но имэйж сцуко не скачивается хотя IAM вроде правильный

Просто роли на инстанс хватает с правами на ecr

у меня ecr просто на другом акке , я даю пирмишены для второго акка ,но имэйжда не качается

Ну покажи полиси, чтоль

{ "Version": "2008-10-17", "Statement": [ { "Sid": "Access from Dev env", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::$(ID_of_2_acc):root" }, "Action": [ "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "ecr:PutImage", "ecr:InitiateLayerUpload", "ecr:UploadLayerPart", "ecr:CompleteLayerUpload", "ecr:DescribeRepositories", "ecr:GetRepositoryPolicy", "ecr:ListImages", "ecr:DescribeImages", "ecr:DeleteRepository", "ecr:BatchDeleteImage", "ecr:SetRepositoryPolicy", "ecr:DeleteRepositoryPolicy", "ecr:GetLifecyclePolicy", "ecr:PutLifecyclePolicy", "ecr:DeleteLifecyclePolicy", "ecr:GetLifecyclePolicyPreview", "ecr:StartLifecyclePolicyPreview" ] }

Вместо root должна быть роль, которая на инстансе

Я так полагаю, разворачивали копсом

меня вот этот "root" смущает

Что-то типа role/nodes.mydomain..com

не могу приатачить роль, ошибкой срет

Я аттачу ансиблом, погугли про aws cli, и им приаттач (сформировав джсонину заранее с правами)

ага , интересная мысль , спасибо за наводку

Я через веб морду сходу не нашел и забил

Пожалста

по идее там надо в двух местах прописать - в аккаунте 1 в котором ECR дать доступ роли из аккаунта 2, и потом в аккаунте 2 в роли дать права на ECR в аккаунте 1

по крайней мере с S3 так надо делать

Valeriy Kravets: Какую систему хранения данных применяете для кубернетес? Сейчас делаю студенческий проект по развертыванию девелопмент среды в Google cloud, AWS или baremetal. Ищу что-то универсальное для подключения динамических томов через storage class в Kubernetes. В облаке конечно топ вариант - облачные хранилища. Но надо универсальное решение. Стек: Ubuntu Ansible Kubernetes GitLab

Valeriy Kravets: Какую систему хранения данных применяете для кубернетес? Сейчас делаю студенческий проект по развертыванию девелопмент среды в Google cloud, AWS или baremetal. Ищу что-то универсальное для подключения динамических томов через storage class в Kubernetes. В облаке конечно топ вариант - облачные хранилища. Но надо универсальное решение. Стек: Ubuntu Ansible Kubernetes GitLab

Универсальная только серебряная пуля... И то не везде..

@Andorka ты был прав, я ещё раз попробовал накатить k8s на 18.04 и всё завелось абсолютно без каких либо проблем

Как знал :)

Универсальная только серебряная пуля... И то не везде..

Абсолютно согласен. Уже трижды пожалел. Стоит ли дальше бится с Ceph, GlusterFS или пробовать с local storage?

А что с ceph?

Выдавал ошибку связок ключей Keyring. Если с рекомендуете. То пойду его добивать

Лучше в чятик ceph пойти

Там лучше помогут

О! Есть и такой? Буду благодарен за ссылку

Если для диплома это не для прода то можно взять ceph оператор, забыл как проект называется

Он конечно сырой как зонтик под дождём но для поиграться и наделать скриншоты для диплома сгодится

rook

@Andorka ты был прав, я ещё раз попробовал накатить k8s на 18.04 и всё завелось абсолютно без каких либо проблем

вообще это как бы плохо

Почему?

не для вас, для концепции...

Концепции чего?

докера и кубера

больше докера

Довольно сложно вытягивать в диалоге по слову из человека клещами

О! Есть и такой? Буду благодарен за ссылку

Тут админы не любят упоминание соседних чатов, наверное считают это спамом

Довольно сложно вытягивать в диалоге по слову из человека клещами

хотите много букв, которые ранее уже написаны? ок... гугл: 1. зачем был создан докер и что он решал 2. почему k8s 3. почему не swarm и когда он был создан и почему

вообще это как бы плохо

Да прост ошибся где-то раньше, делов-то

Лишь бы пофлеймить

Это я всё знаю. Но причём тут 18.04 - не понятно

Да прост ошибся где-то раньше, делов-то

this!

Да прост ошибся где-то раньше, делов-то

иногда возникают артефакты(

Обычно - человеческий фактор

Да это скорее я в сонном бреду не в ту часть ударил молотком по кактусу у монитора. Сделал со свежей головой - всё встало

Лишь бы пофлеймить

у вас никогда демон докера не себя мягко говоря странно? вплоть до ребута машины?

Докер вообще говно, а не продукт

Докер вообще говно, а не продукт

+ как и все посиксообразное

Где посикс, а где докер

posix в докере, докер в posix'e

ну прям рекурсия)

https://github.com/Francesco149/docker-msvc/blob/master/Dockerfile страшилка на ночь

Чо началось-то

Выдавал ошибку связок ключей Keyring. Если с рекомендуете. То пойду его добивать

можете лог показать? речь же про ошибку монитрования при создании pod'а?

Нормально же общались

...

/report

https://github.com/cloudyuga/kubecon18-eu вот тут выложили в более удобном виде ссылки на слайды и видео

Привет! А кто-то тут уже использовал федерации?

Привет! Кто нибудь знает готовый сетап почтового сервера для кубера в GCP? Особенность в том что GCP блочит smtp порты и необходимо юзать релеи на других портах.

кстати только что попробовал померять скорость. через внешний интерфейс HTTP request sent, awaiting response... 200 OK Length: 2836847124 (2.6G) [text/plain] Saving to: ‘registry.tar.gz’ registry.tar.gz 100%[=====================================================>] 2.64G 112MB/s in 24s через wireguard сетку: Length: 2836847124 (2.6G) [text/plain] Saving to: ‘registry.tar.gz.1’ registry.tar.gz.1 100%[=====================================================>] 2.64G 107MB/s in 25s

А какой CPU usage при этом? Нам достался в наследство tinc, он в 100% упирался. Сейчас пробуем IPsec на libreswan, у него около 0% CPU

А какой CPU usage при этом? Нам достался в наследство tinc, он в 100% упирался. Сейчас пробуем IPsec на libreswan, у него около 0% CPU

Нормально у вайгуарда с ресурсами, а tinc все таки в юзерспейсе, так что высокое потребление ресурсов ожидаемо

О! Есть и такой? Буду благодарен за ссылку

https://t.me/ceph_ru

Привет! А кто-то тут уже использовал федерации?

?

Привет! Кто нибудь знает готовый сетап почтового сервера для кубера в GCP? Особенность в том что GCP блочит smtp порты и необходимо юзать релеи на других портах.

Может написать в гцп саппорт? Думаю они откроют по хаявке

а у GCP вообще есть саппорт? опыт общения с гуглом показал, что обычно они не полагаются на мешки из мяса – все автоматическое

Может написать в гцп саппорт? Думаю они откроют по хаявке

По опыту со scaleway не верится в это? Кроме того, нашел много мертвых тем на саппорте гугла, где все такие просьбы так и остались открытыми... Сейчас нашел патч к Mailu, который помогает наконфижить релей. Пробую завести вместе с Sendgrid

По опыту со scaleway не верится в это? Кроме того, нашел много мертвых тем на саппорте гугла, где все такие просьбы так и остались открытыми... Сейчас нашел патч к Mailu, который помогает наконфижить релей. Пробую завести вместе с Sendgrid

А что, почтовые серваки умеют слать не на стандартные порты??

А что, почтовые серваки умеют слать не на стандартные порты??

В релей постфикса надо указать хост с любым портом)) В моем случае "smtp.sendgrid.net:2525" Уже норм стучу туда, но пока не могу пройти авторизацию...

В релей постфикса надо указать хост с любым портом)) В моем случае "smtp.sendgrid.net:2525" Уже норм стучу туда, но пока не могу пройти авторизацию...

вопрос в том, чтобы получить письма на этот адрес

вопрос в том, чтобы получить письма на этот адрес

Входящие работают)

Хм, приготовил... От меня на sendgrid уходят, получателю еще не пришли(

Одно пришло... А кто-нибудь вообще работал с sendgrid? Как его правильно приготовит? Я дким и дмарк готовил для своего адреса. Но в письме дошедшем до i.ua вижу что подписано оно сендгридовскими... А gmail блочит на дмарк проверке(

Одно пришло... А кто-нибудь вообще работал с sendgrid? Как его правильно приготовит? Я дким и дмарк готовил для своего адреса. Но в письме дошедшем до i.ua вижу что подписано оно сендгридовскими... А gmail блочит на дмарк проверке(

это же вообще не про куб и в доках всё есть. Хотя проблема изначально не была про куб

это же вообще не про куб и в доках всё есть. Хотя проблема изначально не была про куб

Если тебя это успокоит - mailu кручу в кубе на GCP ?

я спокоен, но вопрос всё равно не про куб, крути где хочешь

я спокоен, но вопрос всё равно не про куб, крути где хочешь

Прикрутил уже) Хорошего дня??

?

Ну блин, мало ли, может, если повторять много раз, то найдутся :)

Ну блин, мало ли, может, если повторять много раз, то найдутся :)

Угу, мантра ?

Коллеги, а вам не кажется что Kubernetes превращается в OpenStack?

Сейчас за предложение сделать инсталляцию OpenStack морду бьют если что :)