Logan
Не говоря о том, что повальный IPSec не решает проблему, для которой был придуман ssl и tls
Roman
RacoonD, strongswan, openswan, cisco vpnc, cisco anyconnect, shrew, ms ike client, nortel secure (кажется так назывался) - смотрел. Плюс железки. Нет там ничего простого. Если часть сложностей strongswan от вас скрыл - это не значит, что настраивать было просто. Это значит магию. А это плохо. Это означает неконтролируемую инфраструктуру. То есть - не понятую инфраструктуру.
единственная сложность с ipsec - это то, что некоторые вендоры делают его криво.
Logan
единственная сложность с ipsec - это то, что некоторые вендоры делают его криво.
неверно. Его все делают неправильно. Но - по-разному
Roman
затем, что на тот момент иных вариантов не было.
когда "в тот момент"? в 2003 уже был openswan/freeswan, в 2005 - strongswan.
Pavel
народ, кто-нибудь запускал concourse.ci в кубернетесе?
Dima
Привет. Осваиваю kubernetes и docker. Всё поднято на AWS с помощью https://github.com/coreos/kube-aws, как-то работает. Проблема, что клиент (мобильный, react-native приложение) не коннектится к сокету (на обычных хостингах если сервер запущен — всё ок). Инстанс приложения в одном экземпляре, так что это видимо не из-за балансера? В каком направлении копать, в общем
Alex
начниет с kubectl get services
Alex
kubectl get ingress
Dima
Что именно я там должен увидеть? Сервис-то работает, там еще сайт - открывается, сервак бежит
Alex
когда вы видите что-то это ен значит что это видят другие люди
Alex
как понять как вы настроили сервис?
Alex
погадать?
Alex
nodeport?
Dima
80:32506/TCP,443:31110/TCP
Dima
kctl get nodes
Dima
Вижу 2 ноды
Dima
kctl get pods
Вижу свой под, могу зайти на него, смотреть логи
Bogdan (SirEdvin)
Извините, что вопрос немного не по теме, но может, кто-то может помочь с этим:
http://stackoverflow.com/q/42443688/4193643
Это по поводу Concourse CI, собственно, тут ее и подсмотрел
Alex
⇒ kubectl describe svc fallball-connector
Name: fallball-connector
Namespace: default
Labels: name=fallball-connector
Selector: name=fallball-connector
Type: NodePort
IP: 10.10.23.172
Port: <unset> 80/TCP
NodePort: <unset> 32544/TCP
Endpoints: 10.10.3.13:5000
Session Affinity: None
No events.
Alex
IP: 10.10.23.172
у вас там что?
Alex
с этого адреса будут доступны ваши порты
Alex
если нужен доступ по белому адресу - ingress
Dima
Name: ***
Namespace: default
Labels: name=***
tier=***
Selector: app=***
Type: LoadBalancer
IP: 10.3.0.168
LoadBalancer Ingress: a391*********************.us-west-2.elb.amazonaws.com
Port: http 80/TCP
NodePort: http 32506/TCP
Endpoints: 10.2.42.25:4000
Port: https 443/TCP
NodePort: https 31110/TCP
Endpoints: 10.2.42.25:4000
Session Affinity: None
No events.
Dima
Через route53 сделан alias на этот ingress, сайт открывается по домену, коннекчусь к сокету тоже по нему
Alex
вот тут я пфф - тк у меня GKE
Alex
(
Dima
По ходу в AWS надо что-то подкрутить
Dima
Но я не знаю что
Alex
я бы начал смотреть как настроен a391*********************.us-west-2.elb.amazonaws.com
Alex
так вы пытаешь к домена привязанному к ip у elb a391*********************.us-west-2.elb.amazonaws.com
Alex
подключиться к 80 порту?
Alex
и я не знаю но для работы tls вам нужно аннотацию сделать ссылкой на сертификаты
M
Извините, что вопрос немного не по теме, но может, кто-то может помочь с этим:
http://stackoverflow.com/q/42443688/4193643
Это по поводу Concourse CI, собственно, тут ее и подсмотрел
там несколько версий назад сломали ssl disable, теперь нужно настраивать с сертификатами
Etki
Привет. Осваиваю kubernetes и docker. Всё поднято на AWS с помощью https://github.com/coreos/kube-aws, как-то работает. Проблема, что клиент (мобильный, react-native приложение) не коннектится к сокету (на обычных хостингах если сервер запущен — всё ок). Инстанс приложения в одном экземпляре, так что это видимо не из-за балансера? В каком направлении копать, в общем
то, что проксирует трафик по пути к поду, умеет в upgrade?
Etki
насколько помню, nginx нужна дополнительная конфигурация для того, чтобы он еще и вебсокеты проксировал
Dmitriy
насколько помню, nginx нужна дополнительная конфигурация для того, чтобы он еще и вебсокеты проксировал
Две строчки, смысл которых я не понимаю.
Etki
вебсокеты, о которых, насколько понимаю, идет речь, и http - это два разных протокола на одном порте, и если запрос принимается через ряд промежуточных http-роутеров, есть вероятность, что один из них не проксирует вебсокеты, а только чистый хттп
Dima
В сервисе надо было вместо http выставить tcp в service.beta.kubernetes.io/aws-load-balancer-backend-protocol: "tcp"
Dima
И сокеты заработали
Dima
До nginx еще не дошел, инстанс пока один
Denis
Да, точно )) Не дочитал до конца
Sergej
С удовольствием выслушаю альтернативы. Без Amazon ec2 и kubeadm. Вообще- автоматизация- это прекрасно, но было бы нелишним понимать, что именно автомат творит. Иначе есть риск напороться на ошибку, лечение которой превратится в магическую процедуру.
А в чем проблема? Мастер-мастер собирается за пару часов.
Sergej
$ kubectl get componentstatuses
NAME STATUS MESSAGE ERROR
scheduler Healthy ok
controller-manager Healthy ok
etcd-1 Healthy {"health": "true"}
etcd-0 Healthy {"health": "true"}
Sergej
Миньоны тоже за час, но пока уперся что они подключаются но почему то незаводится докер. В понедельник добью если не будут отвлекать.
Sergej
Да работает. До этого использовал установку через репу, но там изначально не предусмотрена синхронизация etcd, хотя мастер и пара миньонов заводится за час-полтора (с подъемом VM). Для шоурумов и стейджа такая схема устраивает. Для продакшена нужно уже ручное вмешательство. Вот пробую варианты.
Sergej
Начал тулить миньоны они завязались
Sergej
kubectl get node
NAME STATUS AGE
kub-worker0 NotReady 1d
Sergej
но статуст такой.
Sergej
Проблема думаю в этом
Sergej
manager.go:151] unable to connect to Rkt api service: rkt: cannot tcp Dial rkt api service: dial tcp [::1]:15441: getsockopt: connection refused
Sergej
В понедельник буду разбираться.
Sergej
Привет, Всем! помогите пожалуйста с пролемой. На нодах не поднимаются pod'ы, находятся в состоянии pending. Узнал что виной тому сообщения KubeletHasSufficientDisk, KubeletHasSufficientMemory и KubeletHasNoDiskPressure, которые у меня на каждой ноде в кластере, а потому scheduler не хочет распределять контейнеры по нодам. Как примерно разрешить эту ситацию? Искал, но так и не смог найти подходящего решения.
Нужны логи
. У меня была ситуация что k8 упорно не хотел тянуть образы из приватного репозитария хотя docker login работал. Пришлось тулить к каждому еще и secret.
Denis
Да работает. До этого использовал установку через репу, но там изначально не предусмотрена синхронизация etcd, хотя мастер и пара миньонов заводится за час-полтора (с подъемом VM). Для шоурумов и стейджа такая схема устраивает. Для продакшена нужно уже ручное вмешательство. Вот пробую варианты.
Какой нибудь step by step по теме есть? Нам ещё предстоит М-М делать
Sergej
Пока http://samag.ru/news/more/2349 над инструкцией мастер-мастер работаю. Вариантов несколько, нахожусь в творческом поиске.
Sergej
Вот кстати столкнулся с такой штукой
Sergej
Running with swap on is not supported, please disable swap! This will be a fatal error by default starting in K8s v1.6! In the meantime, you can opt-in to making this a fatal error by enabling --experimental-fail-swap-on.
yolkov
со свапом нормально аккаунтинг не работает, просят отключать его
yolkov
https://groups.google.com/forum/#!topic/kubernetes-users/uhl5R24EOlY
Logan
А в чем проблема? Мастер-мастер собирается за пару часов.
так там выше говорится о том, что ставить куб _вручную_ - запрещено и вообще чуть ли не святотатство :)
Logan
я вот вручную и буду, видимл
Sn00part
где говорится?
Sn00part
врут
Sergej
так там выше говорится о том, что ставить куб _вручную_ - запрещено и вообще чуть ли не святотатство :)
Я хочу собрать только на бинарниках, без контейнеров.
Alexander
Ребята, добрый день. Может вопрос может показаться нубовским - но я не нашел "на-раз" решение. На ноде пожирается свободное пространство каким-то контейнером... каким - непонятно. Есть ли какой-то способ узнать чем именно пожирается? Система - CoreOS, docker + kubernetes, есть подмонтированные volumes (EBS) через kubernetes
Sergej
docker images даст списко всех контейнеров и место
Sergej
со свапом нормально аккаунтинг не работает, просят отключать его
Да. Выключил свап и ошибка ушла
Etki
это еще могут быть volumes, там не знаю, как инспектить (но всегда можно натравить du на /var/lib/docker)
Alexander
ага спасибо ;)
Sn00part
Я хочу собрать только на бинарниках, без контейнеров.
ну собирай не проблема. в интернете есть скрипты для системд и апстарт
Sn00part
но только это не кубернетес way и будут проблемы