Maksim
http://itechet.blogspot.ru/2015/11/weave-vs-flannel-network-performance_25.html
Maksim
--allow-privileged=true в конфиге apiserver и kubelet
Logan
а разрешить его только для того, чтобы создать обратно порушенный под (то есть на вермя) - анриал?
Maksim
https://kubernetes.io/docs/admin/admission-controllers/
Maksim
DenyEscalatingExec
This plug-in will deny exec and attach commands to pods that run with escalated privileges that allow host access. This includes pods that run as privileged, have access to the host IPC namespace, and have access to the host PID namespace.
If your cluster supports containers that run with escalated privileges, and you want to restrict the ability of end-users to exec commands in those containers, we strongly encourage enabling this plug-in
Logan
спесибо, изучу
Maksim
http://blog.kubernetes.io/2016/08/security-best-practices-kubernetes-deployment.html
Logan
понятно, что ничего не понятно. Ответа, как мне создать (пересоздать) weave-pod я так и не нашел
Maksim
ставишь разрешение на прилигированные поды
Maksim
и контроллер должен их создать
Maksim
либо надо читать логи
Maksim
но тут возникает классный вопрос, если контроллер манагер в поде, то видит ли он аписервер?/
Maksim
учитывая что нет сети
yolkov
удаляешь под, его пересоздаст демонсет
yolkov
видит, он в поде в hostnetwork
Logan
ничего он не видит. При удалении пода демонсет новый под не создает - контейнеров вообще не видно
Maksim
они у него не создались да же
Logan
удаление и пересоздание демонсета ничего не даст
yolkov
нужно удалять под
yolkov
видимо ты как то специфично поднял кластер
yolkov
демонсет должен сразу поднимать контейнеры, и как минимум они будут в статусе пендинг
yolkov
если ничего нет, смотри с сервера логи кубелета или аписервера
yolkov
аписервер, контролер и шедулер как подняты, работают?
Logan
в смысле - как? как карго их поднимает, в виде докер-образов
Logan
нет подов вива - нет сети. Нет сети - ничего не работает
yolkov
как статический под, как просто докеробраз, как под в кубе?
yolkov
я не видел карго, не знаю как он поднимает
yolkov
я подимал как стаический под https://kubernetes.io/docs/concepts/cluster-administration/static-pod/
yolkov
для мастер компонент у них указывается hostnetwork: true
yolkov
соответсвенно у мастер компонент сеть всегда доступна
yolkov
и не зависит от сетевой подситемы куба
yolkov
далее поднимаешь демонсет с сетью
yolkov
kubectl get no
yolkov
все в статусе реади?
Logan
да. И демонсет присутствует. Но поды создавать не хочет, хоть стреляйся. Не могу понять, в чем магия и как заставить его работать. Поскольку кластер пустой - просто его перелью, но вопрос интересный
yolkov
заходи на любую ноду и смотри docker ps -a, docker logs id, логи кубелета
yolkov
смотри логи мастер компонент на мастер ноде
Nikita
Всем привет
Установил я куб
и все вроде бы хорошо
даже nginx запускается
НО kube-dns 3/4 Running
и висит в таком состоянии
что делать?
1 мастер + 2 ноды
Igor
Смотреть логи :)
Nikita
Readiness probe failed: Get http://192.168.69.4:8081/readiness: dial tcp 192.168.69.4:8081: getsockopt: connection refused
???
в гуголе забанен(
Igor
Сервис не готов принять траффик надо смотреть те же логи, почему не готов
yolkov
3 ноды 4 днс
yolkov
скорее всего hostnetwork и порт занят
yolkov
хотя вроде там не хостсеть
yolkov
какой чек у readiness?
Dmitry
убедись, что pod network работает между нодами
yolkov
и какой из 4 контейнеров не стартанул?
Nikita
Спасибо )
Завтра попробую
Nikita
Узнать все
kay
Есть кто на митапе сейчас?
yolkov
каком?
Svyatoslav
Какой митап, где?
Anton
Я был.
Anton
В Берлине )
Zon
Я поленился, завтра наслушаюсь :)
Anton
Как ставить кубернетс в digital ocean на практике. Ну и всякие фичи куби смотрели в действии
Anton
Типа rolling updates
Anton
И смотрели как пинг идёт без перерывов нашего приложения при апдейте
Vasily
Народ, кто как решает вопрос изоляции подов в неймспейсах? Чтобы поды одного неймспейса не ходили и даже не знали о родах из других неймспейсов.
yolkov
нетворк полиси, но мы только начинаем
Vasily
нетворк полиси, но мы только начинаем
Ну, при таком раскладе, имена все-равно будут доступны.
yolkov
ну тогда другой кластер
yolkov
общий кластер для разных клиентов?
yolkov
можно попробовать кубеднс для каждого клиента свой запустить и правами попробовать разрулить какие неймспейсы видеть + нетворк полиси
yolkov
но не уверен что получится
Vasily
можно попробовать кубеднс для каждого клиента свой запустить и правами попробовать разрулить какие неймспейсы видеть + нетворк полиси
Это мысль, зафиксировал, спасибо.
Anonymous
Kubernetes 1.6 is live!
Ivan
👍👍👍
Anonymous
господа, у меня вопрос по ingress - че-то я запутался:
1) поставил nginx-ingress из https://github.com/kubernetes/charts/tree/master/stable/nginx-ingress и переписал путь на дефолтный GKE контроллер (чтобы свой не создавал деплоймент):
controller:
defaultBackendService: "kube-system/default-http-backend"
2) создал ingress с нужным мне сервисом:
$ kubectl get services
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
excited-gecko-nginx-ingress-controller 10.107.248.80 104.197.230.27 80:30162/TCP,443:32189/TCP 14m
$ kubectl get ing
NAME HOSTS ADDRESS PORTS AGE
dokuwiki wiki.internal.fulldive.com 35.184.151.232 80, 443 3m
вот сайт wiki.internal.fulldive.com по адресу 104.197.230.27 доступен, а по адресу 35.184.151.232 нет
нафига он мне еще под ингресс еще один балансировщик с внешним адресом забабахал? и как сделать чтобы он этого не делал?
"я не буду за это платить" (с) :)
Михаил
@zon_orti требуем текстовую трансляцию по возможности
Zon
Не успеваю так быстро)
Михаил
а у них трансляшка будет?
Михаил
надо было ехать самому, заодно бы в гости заскочил))