Denis
там https://github.com/kelseyhightower/kubernetes-the-hard-way обновился
Denis
https://github.com/kelseyhightower/kubernetes-the-hard-way/commit/4ca7c4504612d55d9c42c21632ca4f4a0e9b4a52
Denis
и с бешенной скоростью закрываются все opened issues
Denis
https://github.com/kelseyhightower/kubernetes-the-hard-way/issues?q=is%3Aissue+is%3Aclosed+sort%3Aupdated-desc
Pavel
Lev
K8s 1.7.5 out now
Sergey
о хардвейщики подтянулись
Logan
хардвей точно не самый плохой способ понять, как работает куб
Vitalii
судя по коммиту проще заново прочитать
Denis
да не самый удачный пример коммита ))
Dmitry
Ребят, а кто как мониторит/алертит свободное место в pv?
Sergey
хардвей лучший способ понять как работает в базе кубер
Rinat
привет)
Rinat
`
kubectl get pvc
NAME STATUS VOLUME CAPACITY ACCESSMODES AGE
db-data-claim-1 Bound gce-disk-1 50Gi RWO 49m
`
Rinat
Bound нормальный статус?
Anonymous
Как правильно монтировать вольюмы в контейнер запущенный не из под рута?
Anonymous
https://stackoverflow.com/questions/35213589/docker-container-with-non-root-user-deployed-in-google-container-engine-can-not
Anonymous
Трюк с fsGroup у меня почему-то не всегда работает
Nikita
Rustam
Всем привет. Переделал сеть внутри работающего кубера на обычную, не оверлай сеть, доступность между подами разных нод есть. Почти всё работает, но внутри подов не может законектиться на api кубера через сервис.
Например, на kube-dns при коннекте к api кубера таймаутит.
В kube-dns установлен serviceAccountName, я вытащил токен для него - через curl на ноде с этим токеном в хедере подключается.
Куда копать?
Maksim
что значит "обычная сеть"
Maksim
но вообще если я всё прально понял, то копать в API tables и kube-proxy
Maksim
это раз и два Копать в настройки kube-dns
Maksim
потому как по умолчанию он его ищет на kubernetes.default.svc
Rustam
Ну просто на роутах. На каждой ноде фиксированный cidr. И каждая нода знает на какую ноду идти для каждой подсети.
Как раз падает на создании kube-dns, не он там по ip пытается зайти на kube-api (в моём случае https://10.96.0.1:443).
Видимо, да нужно кописать в iptables и kube-proxy. Хреново, что там нету нормальной маршрутизации, хрен попингуешь
Rustam
не знаю, что было. Но поменял proxy-mode с userspace на iptables и всё заработало
Denis
Пропустил интересный момент, даже epam начал играть с Kubernetes) https://youtu.be/o4fjUkFm7NE?t=1h14m43s
Anonymous
Денис, раздай модерки! :)
Rinat
добрый у кого была ошибка?
запускаю postgres в кубе
initdb: could not look up effective user ID 2000: user does not exist
Alexandr
Была такая ошибка при запуске в докере. Права на volume нужно проверить
Logan
Logan
?
Rinat
нет, да я уже понял все ))
Rinat
выставил права на папку смонтированную
700
Rinat
для постгреса
Rinat
и с
Rinat
все
bebebe
о
bebebe
к
Anonymous
оффтоп: кто юзает istio, они уже научились коннектить сервисы в разных неймспейсах?
bebebe
оффтоп: кто юзает istio, они уже научились коннектить сервисы в разных неймспейсах?
через полторы недели отвечу
Anonymous
ок буду ждать :)
bebebe
ок буду ждать :)
у меня переодически есть неопродолимое желание на openresty нечто похожее накалякать
bebebe
PoC сделать
Anonymous
ты конкретно про envoy или про всю связку в целом?
bebebe
да, начать с малого хочу
bebebe
эти ребята из истио на мой взгляд немного "того"
bebebe
в своем желании пилить свой плюснутый велосипед
bebebe
они не смогли в nginx, только из за предвзятости к русскоязычной комьюнити
Anonymous
Может кому полезно будет.
Logan
Модераторы?
Logan
@DenisIzmaylov ???
Aleksey
Владельцы кубернетиса в чате есть ?
скажите там серисам запущеным под ним встроенный etcd доступен на почитать/пописать ?
Rinat
можно конечно
Etki
было бы хорошо чуть подробнее описать кейс, потому что официальная рекомендация, насколько помню - поднимать отдельный кластер внутри куба
Aleksey
ну вот я тоже понимаю что если он доступен на почитать пописать то тут много моментов с правами возникает.
Aleksey
кейс хранить настройки приложения в еткд. приложение умеет с ними работать
Aleksey
но не понятно именно поднимать новый кластер еткд поверх кубера или таки писать в существующий.
Aleksey
кубер полностью мой и полностью подконтролен мне. левого там нет и не может быть ничего.
Logan
Aleksey
ясна спасибо.
Anonymous
Anonymous
почему нужно поднимать новый (отдельный) кластер, почему нельзя писать в уже существующий
Anonymous
простите заранее за возможно глупый вопрос - мне сильно не хватает технических знаний - я могу очевидного не понимать иногда 😿
Aleksey
аргументы за - нативность. меньше адмтнистрирования.
агрументы против - взаимовлияение.
Etki
почему нужно поднимать новый (отдельный) кластер, почему нельзя писать в уже существующий
есть вероятность завалить завалить сам куб либо просто случайной нагрузкой, либо "ну я думал там только мои значения, поэтому приложение затирает вообще всё раз в час ))))"
Anonymous
есть вероятность завалить завалить сам куб либо просто случайной нагрузкой, либо "ну я думал там только мои значения, поэтому приложение затирает вообще всё раз в час ))))"
"создать новый, чтобы не завалить старый" - звучит рационально и вполне себе понятно. спасибо!
Sergey
ectd хранит всю инфу касательно кубер кластера, включая и секреты, вот как-то не шибко интересно что бы левый под мог воспльзоваться воими секретами, а шифрование секретов в etcd в альфа версии с 1.7 версии кубера
Aleksey
этот момент я специально оговорил. кубер мой и кроме меня там никого нет.
Sergey
есть неилюзорный шанс, что из-за пьяных глаз можно поломать кластер кубера
Sergey
тупо записав не то ни туда
Sergey
ну как бы менеджмент самого кластера и клиентские данные надо разносить
Sergey
имея тот же опенстек, вы же не пытаетесь писать в его мускуль клиентские базы)
bebebe
плюсану оратора
bebebe
можно писать в кубовский etcd, но шанс поломки увеличивается
bebebe
давайте еще про ci/cd поговорим да
Sergey
а разве, реально, кто-то умеет в настоящий ci / cd
Sergey
bebebe
затроллил)))) лалка)))) го на мид