Zon
Надеюсь мой совет не будет воспринят как "накостыляй на проксмоксе" :)
𝕍ℤ
уже потрачено время на куб :(
𝕍ℤ
думал с наскока и облажался
𝕍ℤ
надо было накидать всё на lxd, а потом спокойно сервисы впиливать
𝕍ℤ
пока куб худо бедно работает, даже с cicd) есть желание поковырять опеншифт, времени пока нет. но отдельная нода под это всё заведена)
KlonD90
Как задеплоить мой конфиг nginx в kubernetes правильно?
KlonD90
Или можно поставить nginx перед кубернетес руками?
Logan
а вы какую задачу преследуете вообще? вам балансировщик нужен?
KlonD90
Ну там балансер и кэш есть
KlonD90
Перед приложением
G72K
если балансировщик, то кастомизируйте nginx-ingress-controller
G72K
там есть ключи в configMap которые сырые куски конфига вставляют, может помочь если встроенных ручек вам недостаточно
Logan
если балансировщик, то кастомизируйте nginx-ingress-controller
я так понимаю, это у него за балансировщиком
KlonD90
Ну вообще чсто логически нужно по nginx'у на хост
KlonD90
но хз как это сделать
Logan
Ну вообще чсто логически нужно по nginx'у на хост
ну, чисто логически - нет. А если нужно запускать рядом с каждым приложением nginx - то можно просто в деплоймент контейнер с nginx ставить
Logan
у них есть корзина, какое умиление, боже мой
Logan
давайте им сайт уложим :)
Etki
Господи, казино в телеграме через бота
Etki
Что у этого всего есть пользователи
Vitaliy
народ, кто как хранит приватную информацию для кубернетеса?
Роман
Блин. Несколько дней мучился с кубером. И так, и сяк. И сервисы, и ингресс - всё перепробовал. Не заходило по адресу в моё приложение. И вся проблема была в том, что я на адрес мастера пытался войти). Такая мелочь... Оказывается, надо было ноду рассматривать, как сервер, на IP которой резолвится адрес.
Подскажите, как разрешить использовать мастер, как ноду?
Vitaliy
ну если реально надо - в доку есть как убрать taints
Vitaliy
и про ниъ тоже
Vitaliy
хочется как-то в гите безопасно
𝕍ℤ
коллеги, rkt vs docker, поделитесь опытом
Etki
tcnm есть подход, в котором есть CMDB, в котором хранятся, грубо говоря, настройки всей организации
Etki
и при необходимости эта база данных вытягивается в нужном месте, например, при генерации секретов кубернетеса (это можно прямо в CI сделать, сделал коммит - ушло в дженкинс, оттуда в куб)
Etki
проблема только в том, что в этом случае нет никакого разграничения прав. либо на раздельные репозитории бить, либо нужен какой-то сервак над этим всем. реализаций пока не видел
Konstantin
Секреты можно хранить в Vault и управлять, получать ими там
Vitaliy
@zon_orti looks nice! thanks
No
Господа, не подкинет кто ссылки почитать про ingress. Интересуют примеры с пояснениями.
No
Кстати, остался очень доволен использованием kubernetes-anywhere при деплое кластера на vSphere
Vitaliy
Господа, не подкинет кто ссылки почитать про ingress. Интересуют примеры с пояснениями.
а что с ингресом? правда я возился только с nginx ingress, но все равно там было все достаточно просто.
Vitaliy
в офф.доке все понятно написано вроде бы. в гите есть примеры с шаблонами.
Anonymous
Ребят, объясните пожалуйста по сетке. Чтобы 2 ноды завести нужно плагин ставить? Какая должна быть подсеть в настройках? Как у докера? 2 вечера убил
Anonymous
Ноды в разных датацентрах. В разных подсетях (пример 2 вдски от разных хостеров)
Logan
Ноды в разных датацентрах. В разных подсетях (пример 2 вдски от разных хостеров)
рекомендую разные ЦОД-ы разнести в ubernetes и сделать федерацию
Anonymous
то есть просто покупать каждый день vds и делать их нодами нельзя? обязательно чтобы в 1 подсетке???
Logan
то есть просто покупать каждый день vds и делать их нодами нельзя? обязательно чтобы в 1 подсетке???
нет, почему, можно. Но у вас сеть оверлейная, один деплоймент может развернуть контейнеры на разных нодах, сеть будет тормозить. И могут быть проблемы со стораджем
Anonymous
@not_logan спасибо . А есть нормальная документация как настроить?
Logan
@not_logan спасибо . А есть нормальная документация как настроить?
настроить что? настройка сети между обособленными узлами никак не отличается от стандартной. я бы рекомендовал брать weave, там есть шифрование.
Dmitry
настроить что? настройка сети между обособленными узлами никак не отличается от стандартной. я бы рекомендовал брать weave, там есть шифрование.
Помнится у weave есть cli-тулза, которая упоминается в troubleshooting-гайде
Dmitry
https://www.weave.works/docs/net/latest/weavedns/troubleshooting-weavedns/
Dmitry
Но я что-то никак не смог ее найти в случае с k8s. Ни в одном из контейнеров weave ее нет.
Dmitry
Я чего-то не понимаю?
kay
день добрый, коллеги. а кто запиливал rolebased + admission control?
Maksim
а в чём проблема?
kay
Error creating: pods "test-4184668650-" is forbidden: no providers available to validate pod request
kay
запилен RBAC
kay
с ним проблем нет
kay
тестовый deployment не создаёт поды
kay
затыкается на replicaset, в котором как раз эта ошибка
kay
есть service-account, который забинден с restricted
kay
verb: use
kay
деплоймент создается, replicaset создается, pod не создается
Maksim
1. С чего увереность что с RBAC проблем нет?
Maksim
2. Сервис аккаунт не связан с несозданием пода....Он создан для работы демонов в поде и их связи с API кубера изнутри кубера
Maksim
Admission control Это посути набор модулей, которые включают или выключатают те или иные функции
kay
я хочу включить PodSecurityPolicy
kay
без него кластер отлично работает
kay
с ним уже нет
kay
создал роль:
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
creationTimestamp: 2017-06-20T12:22:39Z
name: role
rules:
- apiGroups:
- ""
resources:
- pods
- pods/log
- configmaps
verbs:
- get
- list
- watch
- create
- apiGroups:
- extensions
- apps
resources:
- deployments
verbs:
- get
- list
- watch
- create
- apiGroups:
- extensions
resourceNames:
- restricted
resources:
- podsecuritypolicies
verbs:
- use
kay
создал psp:
apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata:
creationTimestamp: 2017-06-20T10:10:29Z
name: restricted
resourceVersion: "3739436"
selfLink: /apis/extensions/v1beta1/podsecuritypoliciesrestricted
uid: afd70712-55a0-11e7-8248-fa163ecf36c6
spec:
fsGroup:
rule: RunAsAny
runAsUser:
rule: RunAsAny
seLinux:
rule: RunAsAny
supplementalGroups:
rule: RunAsAny
volumes:
- '*'
kay
сделал bind:
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
name: role
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: role
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: role
- kind: ServiceAccount
name: role
kay
т.е. должно бы и заработать...
kay
вот тестовый deployment, который затыкается:
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: test
spec:
replicas: 1
strategy:
type: RollingUpdate
rollingUpdate:
# Ensure we have at least 1 alive pod during update (don't kill old pod until new pod is up and running)
maxSurge: 0
maxUnavailable: 1
template:
metadata:
labels:
app: test
spec:
serviceAccount: role
containers:
- name: test
image: busybox
command:
- /bin/sleep
- '999999999999'
Maksim
Ну ошибка у тебя связана с тем, что не кому проверить запрос пода (видимо по секурной части)
Maksim
и такое впечатление, что нехватает аннотации в деплое
Maksim
https://github.com/kubernetes/kubernetes/blob/master/examples/podsecuritypolicy/rbac/README.md
kay
liggitt [6 minutes ago]
you need to use clusterrole and clusterrolebinding
liggitt [6 minutes ago]
1.7 adds the ability to grant within a single namespace
liggitt [6 minutes ago]
with a rolebinding
liggitt [6 minutes ago]
also, "restricted" is not a good name for that PSP... that's a super-powerful policy
kay
короче фишка, которую я использовал появится только в 1.7
kay
и в настоящий момент нужно использовать clusterrole и clusterrolebinding