Sn00part
есть ещё salt
Sn00part
но он такой
opinionated
bebebe
Sn00part
это для слабаков.
Sn00part
https://docs.saltstack.com/en/latest/
Sn00part
есть ещё cloud foundry paas
Logan
https://docs.saltstack.com/en/latest/
salt отвечает за конфигурации, как chef, ansible или puppet. Просто он не такой известный
Роман
Подскажите, а как мне открыть определённый порт на каждой ноде, чтобы доступен извне был?
Задача: флюент-под (ну или при помощи сервиса) слушает порт. Докер на каждой ноде отправляет логи в этот порт.
Etki
Service node port, нет?
Anonymous
Хай , всем, много раз уже беру у данного магаза @SecreetStore , хочу сказать одного , магазин ровный , брать можно точно!качество отличное,и кстати слава богу товар не в пакетах а в черных колбах которые не рассыпаются ,запечатаная плотно! оператор делает скидки, всем отличных дней в году👍
@SecreetStore
Anonymous
Alexey
Действительно, где бы такое постить как не в сообществе кубернетеса. Им ведь пользуются только наркоманы :)
redbeard
опять иранское трудолюбие?
Александр
Alexey
Но ведь я тоже здесь... WAIT, OH SHI~
Artemiy
привет, у кого-то был опыт использования traefik с ACME в HA кластере? столкнулся с тем, что получение сертификатов не работает, если запустить несколько экземпляров traefik. Один экземпляр работает хорошо
Serg
Artemiy через consul можно, job дергает серты и кладет в консул для всех подов traefik'а
Etki
Там создается файл(ы) для подтверждения в .well-known, который LE запросит при запросе на получение/обновление серта, распределенная фс нужна
Etki
либо просто каким-то образом роутить .well-known на один и тот же инстанс, и выполнять команду оттуда же
Anonymous
Хай , всем, много раз уже беру у данного магаза @SecreetStore , хочу сказать одного , магазин ровный , брать можно точно!качество отличное,и кстати слава богу товар не в пакетах а в черных колбах которые не рассыпаются ,запечатаная плотно! оператор делает скидки, всем отличных дней в году👍
@SecreetStore
Не могу не заметить что таргетинг в этом случае почти угадал :))
Logan
либо просто каким-то образом роутить .well-known на один и тот же инстанс, и выполнять команду оттуда же
А разве траефик так умеет?
Etki
Понятия не имею
Igor
Действительно, где бы такое постить как не в сообществе кубернетеса. Им ведь пользуются только наркоманы :)
а чем пользуются остальные? swarm mode?
Khramov
Люди, а как вы храните все сертификаты для проектов?
А то их уже много, для разых приложений, задумываюсь о каком-то распределенном хранилище для них, но пока не уверен.
Alexey
У меня hashicorp vault юзается
Alexey
Есть самописный скрипт, который обновляет и берёт серты(letsencrypt) и кидает в vault
Alexey
Оттуда автоматом берёт прокся и терминирует трафик.
Ivan
kube-lego?
Alexey
Это очень круто. +1
Dmitry
А запускаешь по крончику? Мне бы, вот, какое-нибудь решение, которое как и letsencrypt берет серты из cfssl api и апдейтит ингресс сикреты куба. Почти созрел для написания своего решения, но вдруг кто отговорит альтернативой?)
Dmitry
https://github.com/futuresimple/helm-secrets
Dmitry
кто уже пробовал?
Denis
Кстати насчет ингресс, кто нибудь пробовал запускать ngnix на нодах вне кластера? Допустим есть пара рабочих Nginx+ через которые идет траффик на сервисы вне куба, реально ли сделать так чтобы часть настроек проставлялось ингресс контроллером а часть осталась как была через статичный конфиг?
Dmitry
Я пробовал, но отказался в сторону полноценного ингресса.
Denis
а чем это не полноценный ингресс?
Dmitry
ну.. то что все равно конфиг генерировать придется исходя данный kubeapi
Dmitry
т.е. ты делаешь почти тот же самый ингресс, но снаружи.. вопрос - нафига?) Я не смог себе ответить на этот вопрос. Поэтому к кубовому nginx прикрутил tls auth, подключил апстримы к нему через tls auth и был таков =)
Khramov
Народ, подскажите.
У нас есть деплои из 1 пода, когда я его обновляю, он удаляет старый и создает новый паралельно, можно ли сделать чтобы сначала создавался новый, а уже после го запуска удалялся старый?
Denis
да https://kubernetes.io/docs/concepts/workloads/controllers/deployment/
Denis
там есть https://kubernetes.io/docs/concepts/workloads/controllers/deployment/#max-unavailable
Khramov
А можно как-то совместить в env имя?
Т.е. мне нужно передать путь для логов вида /var/lib/bla/logs/<podname>.log
Знаю как сделать просто переменную <podname>, но как совместить хз.
Заранее имя пода неизвестно, оно генерится деплойментом.
Etki
передать куда, в один из процессов пода?
Khramov
Записать в env переменную, приложуха оттуда берет данные
Denis
замаунтить /var/lib/bla/logs а в параметра запуска передать /var/lib/bla/logs/$POD_NAME.log ?
Etki
проще всего энтрипонитом сделать скрипт, который сам докомпьютит недостающее
Khramov
А так будет работать, $POD_NAME? Я и так маунчу. Я думал что так не будет работать
Khramov
Есть тут те кто использует canal со своим кластером etcd?
Pavel
Роман
Есть тут те кто использует canal со своим кластером etcd?
Я использую canal. Но я просто поставил его и всё.
ASTASHOFF
А так будет работать, $POD_NAME? Я и так маунчу. Я думал что так не будет работать
env:
- name: POD_NAME
valueFrom:
fieldRef:
fieldPath: metadata.name
Khramov
Это только часть имени, это я знаю.
Нужно сразу комбинировать, чтобы в переменной можно было указать переменную.
А POD_NAME и так по умолчанию есть
Denis
Вопрос немного не по теме, кто нибудь знает как в nginx вычислить hash содержимого хедера?
Logan
Вопрос немного не по теме, кто нибудь знает как в nginx вычислить hash содержимого хедера?
боюсь, что варианта проще чем с луа у вас не будет
Logan
а вам хэш прямо внутри нджинкса нужен?
Khramov
nginx поддерживает lua скрипты, как вариант их юзать, но наверняка там есть более легкие решения
Khramov
упс, Paul, не увидел ваше сообщение
Logan
nginx поддерживает lua скрипты, как вариант их юзать, но наверняка там есть более легкие решения
обязательно учитывайте, что:
- поддерживает не из коробки, это модуль. Или грузить, или вкомпиливать
- следить за памятью, ибо скрипт долгоживущий и имеет отвратительную тенденцию вытекать
- обязательно мерять скорость до и после внедрения скрипта. Я монинторинг на луа включил - у меня скорость на 10% села. Не всем такое подойдет
Sergei
Вопрос немного не по теме, кто нибудь знает как в nginx вычислить hash содержимого хедера?
расскажите задачу чуть подробнее, вам явно хеш не сам по себе нужен.
Denis
расскажите задачу чуть подробнее, вам явно хеш не сам по себе нужен.
Да нужно было временное решение чтобы пускать какой либо процент трафика на другой бэк в зависимости от значения хедера
Sergei
map $http_header_name $upstream {}
Sergei
правда надо еще будет потом обмазаться split_clients
Sergei
но можно на ванильном нджинксе :)
Denis
А как процент регулировать?
Sergei
через split_clients http://nginx.org/en/docs/http/ngx_http_split_clients_module.html
Sergei
кстати, зачем я вам мапку посоветовал? она вам не нужна :(
Denis
Denis
Спасибо
Denis
В общем именно a/b и нужно
Anton
FYI: НЕ обновляйтесь на 1.7 в GKE
там серьезные проблемы с LoadBalancers и Ingresses
надо ждать 1.7.1
Zon
Anton
гугл на странице статуса написали только про сервисы с type=LoadBalancers
https://status.cloud.google.com/
Kubernetes 1.7.0 services of type=LoadBalancer, using a static IP not specified in the loadBalancerIP field, will cause the service controller on the master to crash, leading to disruptive repeated master restarts. As a workaround, services that use a static IP must specify it in the loadBalancerIP field. See issue https://github.com/kubernetes/kubernetes/issues/48848 for more details. This issue will be fixed in a future release.
Anton
но на самом деле даже если не используете loadbalancers
то ingress после апгрейда просто не поднимется
Anton
https://github.com/kubernetes/ingress/issues/975
Anton
здесь идет перепись кто столкнулся
Anton
я ничего не смог сделать кроме как пересоздавать кластер на 1.6.7
т.к. даунгрейд сделать нельзя