я оригинал ещё в прошлом году почитал и забыл, неочём - "мынеосилили"
Пара светлых мыслей там есть) И да у Докера есть траблы в сети
Maksim
Maksim
Думать что ты пихаешь в контейнер.
Pavel
При запуске пода выполняется такой скрипт :
if [ -z "$(grep rabbitmq /etc/resolv.conf)" ]; then
sed "s/^search \([^ ]\+\)/search rabbitmq.\1 \1/" /etc/resolv.conf > /etc/resolv.conf.new;
cat /etc/resolv.conf.new > /etc/resolv.conf;
rm /etc/resolv.conf.new;
fi;
Добавляет 1 элемент в resolv.conf.
Мб из-за этого, но такое возникает не всегда, запущено так 2 реббита, как повезет, иногда возникает ошибка, а иногда нет
НИЗЯ
https://docs.docker.com/engine/userguide/networking/configure-dns/
Logan
какой смысл переводить нытьё годовалое?
любая критика полезна. А насчет качества перевода - давайте Олега сюда позовем и спросим
Konstantin
да пох на качество, смысл вообще статьи? ))
Konstantin
ей ~год + адекватность автора не внушает ничего кроме не читать)
Logan
да пох на качество, смысл вообще статьи? ))
их там два:
- докер написан крайне своеобразно и многие вещи критикуют за дело
- тюнинг бульдозера в самолет имеет предсказуемые результаты. Прежде, чем использовать инструмент - было бы неплохо выяснить, для чего этот инструмент написан
Konstantin
это автор?
Logan
насколько я помню - вот автор: https://thehftguy.com/
Denis
Вот свежак https://thehftguy.com/2017/02/23/docker-in-production-an-update/
A
https://github.com/kubernetes/ingress/issues/575#issuecomment-292771869
Да-да, экзамплы из nginxinc тоже не завелись. Вот эти https://github.com/nginxinc/kubernetes-ingress
Pavel
Logan
Pavel
лол
Салтыдык
Кто-нибудь знает как на kubeadm сделать renew сертификатов?
Салтыдык
Достаточно ли просто файлов в /etc/kubernetes/pki?
Logan
обязательно удалить секреты, чтобы куб их пересоздал
Logan
иначе все рассыпется нафиг
Denis
А какие есть альтернативы calico ?
Logan
weave
Sergei
weave
а какой data plane у weave? емнип некоторое время назад они были на UDP-инкапсуляции с юзерспейс-демоном
Logan
UDP + ESP (Fast DataPath)
Logan
https://www.weave.works/docs/net/latest/using-weave/fastdp/ подробности
Logan
юзерспейс используется только для управления линками, насколько я помню
A
Статье больше года, появилось ли за это время поддержка IPvlan хоть где-нибудь?
A
https://habrahabr.ru/company/flant/blog/332432/
Sergei
vxlan же
A
Ну, ведь нужен "самий лутший и чтобы не настраивать", чтобы как с weave - запустил и работает. :)
Logan
а weave пока не поддерживает ipv6?
Anonymous
у меня есть в nginx ингресс path на разные сервисы: "/test1" и "/test2"
можно как-то сделать чтобы только на "/test2" урл переписался на "/", а для "/test1" остался?
Maksim
разные ing делай
Maksim
тогда через annotation можно задать rewrite
Anonymous
а с одним доменом сработает?
Maksim
вот и узнаешь)
Maksim
но вообще у меня есть разные ing для одного и того же домена..в разных namespace лежат, вроде вс ок работает
Anonymous
да, работает, спасибо
A
Так. Новая пачка глупых вопросов. :)
Правильно понимаю, что ingress сам по себе никаких сущностей не создает, а лишь сообщает ingress-контроллеру, как ему разруливать запросы?
Ingress-контроллер - обычный под, в котором крутится, скажем, nginx + что-то, что опрашивает api-сервер по поводу состояния кластера, какие адреса у каких подов, чтобы менять, например, upstream-ы и так далее?
Maksim
агась
Maksim
плюс оно еще меняет конфиг nginx и ребутает его для принятия нового состояния
Maksim
ща вроде как пишут тоже самое на HAproxy
Denis
при этом этот под доступен через NodePort или типа того?
Maksim
Ну и контроллер может быть и вне пода (и да же вне кластера) (Если вы любите извращения, но это не тру вей)
Maksim
Да через NodePort если контроллер часть кластера
A
Казалось бы, наоборот, если нет ведь.
A
Вот, собственно, здесь вопрос. Где-то видел, что упоминалось требование на доступность через NodePort. Но ведь если контроллер - часть кластера, зачем ему ходить на сервисы не через внутренние адреса, а требовать NodePort?
Maksim
а как он будет отдавать upstream внешнему клиенту?
Maksim
А вот к подам он как раз ходит по внутернеей сети и по внутренним ip адрессам
Denis
ExtClient -> NodePort -> IngressController -> InternalService так ?
Maksim
Хм...
Maksim
Тут что-то с сущностями не так)
A
Не-не, я как раз думал, что ExtClient -> IngressController -> NodePort (?) -> InternalService.
A
В смысле Ingress впереди всего ведь должен быть.
Maksim
IngressController это Прокси) и он вешается на NodePort, что бы отвечать внешним клиентам
Maksim
а сам заберает upstream по внутренним адресам
Denis
либо если Cloud Provider настроен
Maksim
Ну да...
Anonymous
У меня 3 с антиафинити - норм
Maksim
ТАм всегда один лидер)
Maksim
Но по сути ни какой, у меня 4, работают через ds
Maksim
вернее деплоятся
Роман
Кто-нибудь деплоит проекты из гитлаба в кубер?
Maksim
kubectl edit no
Роман
А зачем экстернал айпи?
Maksim
А зачем экстернал айпи?
ну его можно юзать вместо NodePort при вывешивании сервиса в октрытый мир, но эта фича была объявлена устаревшей и кажись в 1.6 её выпилили
Maksim
или в 1.7 точно выпилять
Роман
Вроде бы, это не для этого.
Роман
Поды меж собой пускай по dns имени разговаривают. А выставлять во внешний мир - я бы сделал при помощи ингресс.
Роман
Вот, есть у тебя сервис. У него есть имя. Вот, оно и есть то имя, которое подами резолвится в айпи, который нужен подам.
Роман
Хотя, вот вопрос - а если мне во внешний мир нужно открыть какой-то определённый порт - ингресс тут поможет?
Роман
Аа.
Роман
Есть оверлейная сеть - ноды по ней связаны.
Роман
Ноды что будут друг другу передавать?
Роман
О чём им общаться? Они же просто содержат контейнеры.
Роман
Больше ничего не делают.
Роман
Похоже, оверлейную сеть надо не в кубере тогда поднимать.