по поводу cron-подобной функциональности - в 1.4 должна быть альфа-поддержка Scheduled Jobs https://github.com/kubernetes/features/issues/19

да, я видел))) ждемс с нетерпением

кто-нибудь использует elk из contrib ? как вы запускаете fluent?

коллеги, а ни у кого CNI over Weave не отвалился при обновлении на k8s-1.3.5?

на 1.2.2 - 1.3.4 все ок обновляюсь на 1.3.5 и при попытке запустить любой под вижу в евентах: Sync {kubelet 10.83.8.200} Error syncing pod, skipping: failed to "SetupNetwork" for "nginx-2032906785-i2qf2_default" with SetupNetworkError: "Fai led to setup network for pod \"nginx-2032906785-i2qf2_default(c85b3699-60ac-11e6-beb6-002590d2b7e9)\" using network plugins \"cni\": could not find \".\" plugin; Skipping pod"

зависит от того, как развёрнут кластер. наблюдал похожую проблему с calico из-за /opt/cni в hyperkube image

kubelet'ы бегут отдельными бинарями на хостах с ... --config=/etc/kubernetes/manifests --network-plugin=cni --network-plugin-dir=/etc/cni/net.d ... все остальные компоненты запускаются кьюблетами в контейнерах по манифестам в /etc/kubernetes/manifests

bare metal

ubuntu

что в /opt/cni на хостах?

https://github.com/coreos/coreos-kubernetes/issues/600 (тут правда kubelet в контейнере)

# tree /opt/cni/ /opt/cni/ └── bin ├── weave-ipam └── weave-net

weave-1.6.0

проблемы только с k8s-1.3.5

воспроизводимость стопроцентная

возвращаемся на 1.3.4 - и все начинает работать как надо

@pipopolam не, с ходу не подскажу, наверное :( можно попробовать issue создать

@pipopolam а CNI какой версии?

@Ai_boy не совсем понял вопрос

@pipopolam в cluster/images/hyperkube/Makefile CNI_RELEASE что прописанно?

аэы, я не пользуюсь kube-up

https://github.com/evilmartians/chef-kubernetes/blob/master/recipes/default.rb

манифесты в /etc/kubernetes/manifests/ накидал и запускаю kubelet

@Ai_boy перерыл все контейнеры, нигде ничего похожего не нашел

а, стоп

у меня ж hyperkube

оно там уже с собой

# docker exec -it 5d8ce62ee880 ls -al /opt/cni/bin total 45112 drwxr-xr-x 2 root root 4096 May 4 23:18 . drwxr-xr-x 3 root root 4096 Aug 1 16:56 .. -rwxr-xr-x 1 root root 4796256 May 4 23:18 bridge -rwxr-xr-x 1 root root 3550760 May 3 23:10 cnitool -rwxr-xr-x 1 root root 10344136 May 3 23:10 dhcp -rwxr-xr-x 1 root root 3595728 May 3 23:10 flannel -rwxr-xr-x 1 root root 3788744 May 3 23:10 host-local -rwxr-xr-x 1 root root 4214960 May 4 23:18 ipvlan -rwxr-xr-x 1 root root 3502784 May 3 23:10 loopback -rwxr-xr-x 1 root root 4226536 May 4 23:18 macvlan -rwxr-xr-x 1 root root 4791288 May 4 23:18 ptp -rwxr-xr-x 1 root root 3362616 May 3 23:10 tuning

там как раз weave не хватает

Ну его там никогда и не было

Посмотрел штук пять релизов

Набор файлов одинаковый

Павел, доброго утра! А мог бы рассказать подробней про Wodby? И какую роль там занимает K8s?

Привет русскоговорящим Кубернаутам!

▫️Какой у вас проект или где работаете? K8s on Openstack (Mirano, Magnum) ▫️В чём вы специалист? Openstack, K8s, docker,linux и т.д. немного js, node.js ▫️Чем можете быть интересны или полезны сообществу? Sig Openstack K8s, Организатор K8s и Openstack митаопов, презентую на Summitах, делюсь своим опытом ▫️Чем интересно сообщество вам? есть интререс k8s ▫️Откуда вы? Монреаль ▫️Как узнали про группу? Через Иван Шедунова #whois

как погодка в Монреале?

Настало время систематизации коммуникации в группе @devops_ru и как один из шагов - выделение общения по специфичным, но важным инструментам.

На днях игрался c Minikube - Позволяет ранить кубернитес на лаптопе. (All-in-One) рекомендую если кто еще не пробовал https://github.com/kubernetes/minikube

На днях игрался c Minikube - Позволяет ранить кубернитес на лаптопе. (All-in-One) рекомендую если кто еще не пробовал https://github.com/kubernetes/minikube

Спс, пакурим 😄

с minikube единственная заморочка в том, что он слабо применим для ковыряния самого kubernetes’а

(ну, не единственная, скорее для меня самая заметная)

Но для локального тестирования на dev-окружении вполне приемлим?

это само собой

рекомендуемый вариант

Это необходимо, потому что в жизни со всей сложностью конфигураций необходимо это всё проверять. Можно конечно в рамках отдельного namespace, но это слабомасштабируемо в большой команде. А вот локальная версия как раз то, что нужно - BGD, rollback и тд

А кто как организовал хранение секретов? В GitHub repo? Или что-то вроде Vault используете от HashiCorp?

https://www.vaultproject.io

у нас пока что в репе

прятать не от кого

кстати

а как сейчас модно etcd бэкапить?

а как сейчас модно etcd бэкапить?

Не доверяешь кластеру?)

+ etcdctl backup иногда

etcdctl backup - это же только для v2?

а кто-нибудь уже перешел с v2 на v3?

А кто как организовал хранение секретов? В GitHub repo? Или что-то вроде Vault используете от HashiCorp?

гитхаб + gpg. Распаковка админским ключем при доставке на целевую машину

это прямо в Поде (в контейнере) осуществляется? Или перед деплоем ноды? мы храним пока в Secrets, которые хранятся в приватном репозитории. Деплой на кластер через kubectl. Подключаем либо в качестве монтируемого вольюма, либо напрямую в переменные окружения (все зависит от применимости, например ключи к приватным registry монтируем KubernetesSecrets -> файлы с ключами)

а вы какую проблему-то решаете?

от кого вы прячете secret'ы?

у нас все проще - у нас вся конфигурация во внешку не выходит, нам не надо прятать. в Secrets храним данные для Oauth, пароли, токены к API

а что значит "вся конфигурация во внешку не выходит"?

(простите, я не очень умный :( )

репозиторий с настройками Kubernetes приватный, хранить секреты отдельно нет смысла, как и использовать Vault или какое-то шифрование

аааа

ну вот я об этом и спрашивал там выше

Поэтому нам лично достаточно базовой функциональности

в данном-то случае все эти vault'ы нужны только когда от других коллег их прятать надо

просто механизм Secrets и его монтирование в переменные окружения/вольюмы довольно прикольный и удобнй

да, верно

и при этом еще как-то надо запретить тем коллегам делать kubectl get secret supadupasecret -o yaml

я читал http://kubernetes.io/docs/admin/authorization, но пока было не надо, поэтому заюзать повода не было

Ну те коллеги вероятно совсем не должны иметь возможности использовать kubectl

дане, судя по доке можно почти точечно

http://kubernetes.io/docs/admin/authorization/#request-payloads

например вот

Любопытно

А кто-нибудь использует ingress на локальной установке без облаков?

Вы используете внешние балансировщики или как выводите сервис наружу?

у меня kube-dns присутствует в /etc/hosts, и nginx, установленный на фронтенд-хостах, обращается прямо к кубе-сервисам

Фронты не в кластере?

нет

там куча всего не контейнеризировано