G72K
если никаких общих значений лейблов нет, но есть общие имена лейблов, то можно тупо перечислить значения
selector:
matchExpressions:
- {key: appName, operator: In, values: [backend-1, backend-2]}
ASTASHOFF
то есть это пустой сервис только на селекторах?
G72K
а бывают другие?
ASTASHOFF
ну без селекторов бывают) https://kubernetes.io/docs/concepts/services-networking/service/#services-without-selectors ладно, буду смотреть. я в этой горе абстракций путаюсь иногда. спасибо за мысли
G72K
ну без селекторов он еще "пустее" :)
Zon
то есть это пустой сервис только на селекторах?
Суть в том, что отдельный под для этого сервиса запускать не нужно, он сам найдет бекенды по селекторам
ASTASHOFF
я этого не знал, уже черти куда залез :) спасибо
Volodymyr
Dmitriy
Заметил, что последняя версия кубера не может нормально работать с частным реестром, который требует по https от него клиентские сертификаты. Причем наблюдается следующая картина: sandbox-образ загружается нормально, а обычные образы - нет. Такая же картина с подключением по HTTP с Basic Auth. В логах ругается, что не может поднять сетку)) Нет чтобы нормально в логах выдать ошибку подключения к реестру, он ругается на сетку! Хваленый кубер-кубернетс !!!!!!!!!!!!!!
Dmitriy
Знаю-знаю, никто с этим не сталкивался))
Anonymous
оффтоп: поковырял istio, поднял пару сервисов на нем но так и не понял нафиг он нужен... кто-ниудь достиг просветления?
Dmitriy
оффтоп: поковырял istio, поднял пару сервисов на нем но так и не понял нафиг он нужен... кто-ниудь достиг просветления?
про кого или что ты говоришь?
Anonymous
https://istio.io/
Denis
оффтоп: поковырял istio, поднял пару сервисов на нем но так и не понял нафиг он нужен... кто-ниудь достиг просветления?
мне нравится тема с метриками, circuit breaker и прочими ретраями
Dmitriy
https://istio.io/
хороший вопрос на который лично я в данный момент ответить е могу по причине больной головы после найденных грабель k8s
bebebe
https://istio.io/
Говорят нужен, завтра послезавтра буду ковырять.
У вас получилось истио внутрь запихнуть? Есть подводные камни?
ASTASHOFF
если никаких общих значений лейблов нет, но есть общие имена лейблов, то можно тупо перечислить значения
selector:
matchExpressions:
- {key: appName, operator: In, values: [backend-1, backend-2]}
Спасибо, проверил - такая схема создала по эндпоинту на каждый матч селектора и в ингрессе все эндпоинты помещаются в апстрим.
Anonymous
Говорят нужен, завтра послезавтра буду ковырять.
У вас получилось истио внутрь запихнуть? Есть подводные камни?
на minikube поднял, из подводных камней - то что на следующей день после перезапуска куба перестал работать с ошибкой которая не гуглится :)
Konstantin
Anonymous
ну, я с самого хайпового начал )
Konstantin
Так вроде как linkerd более состоявщийся, хотя могу ошибаться.
bebebe
Dmitriy
Заметил, что последняя версия кубера не может нормально работать с частным реестром, который требует по https от него клиентские сертификаты. Причем наблюдается следующая картина: sandbox-образ загружается нормально, а обычные образы - нет. Такая же картина с подключением по HTTP с Basic Auth. В логах ругается, что не может поднять сетку)) Нет чтобы нормально в логах выдать ошибку подключения к реестру, он ругается на сетку! Хваленый кубер-кубернетс !!!!!!!!!!!!!!
Самое интересное, когда подключаешься к реестру напрямую наблюдаются пролемы с HTTPS, но когда подключаешься к нему же через nginx через тот же HTTPS - все работает
bebebe
Самое интересное, когда подключаешься к реестру напрямую наблюдаются пролемы с HTTPS, но когда подключаешься к нему же через nginx через тот же HTTPS - все работает
Вообще regisry за nginxом доставляла мне много головной боли, пока я не научился правильно делать proxypass
Dmitriy
Вообще regisry за nginxом доставляла мне много головной боли, пока я не научился правильно делать proxypass
В данный момент я этому учусь)) Хотя все работало, пока я не обновил docker-distribution до версии 2.6.2
Dmitriy
В данный момент я этому учусь)) Хотя все работало, пока я не обновил docker-distribution до версии 2.6.2
Самое интересно, что когда я откатился до предыдущей версии, ничего не изменилось
Logan
bebebe
Пиши статью :)
Она уже есть, не моя, если будете испытывать боль в этом направлении пинганите, нагуглю
ASTASHOFF
пусть даже ClusterIP: None
в общем-то, с учетом https://github.com/kubernetes/ingress/pull/981 (аннотация правда даже еще не заиндексировалась в гугле) мы можем подпихнуть в апстрим clusterIP за которым несколько endpoints, ибо на ноде они с -m statistic --mode random --probability раскидываются
ASTASHOFF
прокси с принудительной балансировкой :)
Dmitriy
Пиши статью :)
А я просто напишу скрипт для автоматического развертывания с парсингом и всем таким
Anonymous
Так вроде как linkerd более состоявщийся, хотя могу ошибаться.
да, на него у меня больше планов: во-первых, стабильнее, во вторых, он деплоит не по контейнеру в каждый под а по поду на ноду что существенно экономит ресурсы
у istio правда лучше работа L4 из коробки, но мне неактуально так как только http в кубере пускаю - так что переключился на ковыряние linkerd, скажу если до прода дойдет :)
Evgeny
Всем доброго вечера. Тестируем k8s, встал вопрос как балансировать количество pod между нодами. У нас получается 60/40 70/30 постоянно. Лимиты не используем, т.к. пока это дев окружение. Может кто подсказать?
Anonymous
https://buoyant.io/2016/11/04/a-service-mesh-for-kubernetes-part-iv-continuous-deployment-via-traffic-shifting/ - прикольненько
G72K
в общем-то, с учетом https://github.com/kubernetes/ingress/pull/981 (аннотация правда даже еще не заиндексировалась в гугле) мы можем подпихнуть в апстрим clusterIP за которым несколько endpoints, ибо на ноде они с -m statistic --mode random --probability раскидываются
это никак никак бы не помогло вопрошающему :)
Dmitry
А что не так с джавой?
G72K
Жор, GC залипы, постоянные подкрутки 100 рычажков
Denis
Согласен, жвм на инфраструктуру не хочется брать.
Denis
Хотя сам на скале пишу :)
Sergey
Привет, а занимается ли кто-то управлением пользователями и разграничением доступа (ролями) в кубернетесе? Или все не парятся и ходят под одним-единственным базовым админ аккаунтом, у которого есть доступ ко всем объектам в кубе?
Пользуются ли каким-то дашбордом? Если дефолтным, то как обеспечивают к нему доступ с ноутбуков сотрудников? Если не базовым, то каким и как настраивают доступ?
Logan
Привет, а занимается ли кто-то управлением пользователями и разграничением доступа (ролями) в кубернетесе? Или все не парятся и ходят под одним-единственным базовым админ аккаунтом, у которого есть доступ ко всем объектам в кубе?
Пользуются ли каким-то дашбордом? Если дефолтным, то как обеспечивают к нему доступ с ноутбуков сотрудников? Если не базовым, то каким и как настраивают доступ?
ответ на вопрос про дашборд - прокси. В конфиге прокси указывается токен, а по токену вычисляется роль
G72K
Привет, а занимается ли кто-то управлением пользователями и разграничением доступа (ролями) в кубернетесе? Или все не парятся и ходят под одним-единственным базовым админ аккаунтом, у которого есть доступ ко всем объектам в кубе?
Пользуются ли каким-то дашбордом? Если дефолтным, то как обеспечивают к нему доступ с ноутбуков сотрудников? Если не базовым, то каким и как настраивают доступ?
дашбоард можно запустить прописав ему ограниченный service account
G72K
у нас в тикетах подбирается к верху один, чтобы пускать дашбоард на каждый namespace, где namespace == команда ,с токеном дающим права только на этот namespace
Serg
coreos/dex довольно стабильно работает
Etki
Жор, GC залипы, постоянные подкрутки 100 рычажков
ой, да ладно вам про гц залипы в приложении на сто метров
Etki
Указал размер хипа и куда дамп сбрасывать при оом и вперед
Denis
А как экспозить ингресс?
Maksim
эмммм??ОО
Maksim
ингресс это правило по которому ингресс-котроллер настраивает прокси
Denis
Как пустить внешний трафик на поды nginx например
Maksim
gce или nginx
Denis
я знаю
Maksim
ставишь ингресс контроллер, пишишеь ингресс
Maksim
и ингресс котроллер перенастраивает прокси
Maksim
либо через nodePort
Denis
то есть снаружи попасть вариант только через NodePort?
Maksim
прокси чем не вариант?
Denis
под прокси что имеется в виду?
Maksim
https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80
Denis
капитан
Maksim
Вот именно это и имеется ввиду
Denis
Если nginx запущен сам в подах, как на них попасть снаружи?
Maksim
nodePort
Denis
Ок
Denis
Получается лишний хоп в самом плохом варианте
Denis
если попал не на ту ноду где запущен nginx то kube-proxy прокинеть куда надо, так?
Maksim
да
Роман
Подскажите, пожалуйста, какое-нибудь чтиво, чтобы второй мастер поднять при помощи kubeadm.
Maksim
мне вот эта тулза не нрваится
Maksim
вообще тебе нужно кластеризованный etcd
Maksim
api сервер живёт за любым балансером (он просто пишет в etcd или читает из etcd)
Maksim
controller и schelduler сами договариваются кто ведущий а кто отдыхает
Салтыдык
Подскажите, пожалуйста, какое-нибудь чтиво, чтобы второй мастер поднять при помощи kubeadm.
на нашёл такого в интернетах, поднимал сам
Maksim
https://kubernetes.io/docs/admin/high-availability/#initial-set-up
Салтыдык
ну вот на эти рекомендации и смотрел