Mikhail [azalio]

Я вот не работал :)

Sergey

счастливый человек

Mikhail [azalio]

Ну так в чем профит крио?

Mikhail [azalio]

Я бы может и попробовал

Sergey

ну прямого никакого, ктоме того, что у тебя на хосте н ебудет докера

Sergey

ибо им сейчас от докера нужен только рантайм

Sergey

который давно уже runc

Sergey

https://github.com/kubernetes-incubator/cri-containerd

Sergey

вот такая шняга еще в инкубаторе

Mikhail [azalio]

Я от рассказа авито про кубер услышал что нужен swap. Есть у кого ссылки на обсуждение этого?

Sergey

ну если хош оттянуть прихоть oom то да

Sergey

у сгруппы есть такой ключ cgroup.memory.limit_in_bytes

Sergey

cgroup.memory.limit_in_bytes = 256M

Sergey

и когда твой контейнер дойдет до 256 метров то его начнет ядро свапить

Sergey

cgroup.memory.memsw.limit_in_bytes а есть такой - это с учетом свапа

Sergey

если cgroup.memory.memsw.limit_in_bytes и cgroup.memory.limit_in_bytes равны - то свапиться не будет и придет оом

Sergey

я не смотрел в код, как там в кубере с лимитированием памяти дела остоят

Mikhail [azalio]

ну там говорили в контексте что куб

Mikhail [azalio]

ер криво работает с памятью типа

Sergey

куб не работает, он дергает ручку ядра

Mikhail [azalio]

хотя я слушал в автобусе и докладчик был тих

Sergey

и скорее всего только cgroup.memory.limit_in_bytes

Sergey

и тут желателен свап что бы не пришел оом и не ебнул процесс

Sergey

ну дат ьему возможность потечь немного

Gleb

и тут желателен свап что бы не пришел оом и не ебнул процесс

кончился свап, дальше что?

Sergey

оом

Gleb

так может сразу лучше оом?

Sergey

кому как

Sergey

мне лучше сразу

Sergey

кому-то лучше что бы процесс вышел немного за рамки и засфопился

Sergey

ну допустим планка в 250 метров

Sergey

а он съел 270

Sergey

но я за оом

Sergey

ибо если сука какая-то начнет течь, она всю ноду раком поставит

Sergey

хотите гиги?

Sergey

были у нас делы большие, там 256 512 и тер памяти

Sergey

плюс корзина большая

Sergey

ну молодому арзаровцу говорили что свап делаем 2 размера от озу ну или полтора, если ее много

Sergey

так этот гений взял полтора от 512 гигов

Sergey

сервер умерал долго

Mikhail [azalio]

:))) ну в книжке же написано!

Sergey

угу

Gleb

так этот гений взял полтора от 512 гигов

😂

Sergey

там 60 рейд на 100 теров

Sergey

так что грубо говоря тера диска не жалко

Sergey

а еще этот хуй вьйбал на друго месте все диски в один массив

Sergey

а там были 1,8 тера 10К шутк 30 и 3 диска по 750 грубо говоря 15к

Sergey

ну те три диски должны были идти в отдельный рейд под систему

Sergey

а остальные в массив

Sergey

так он их вьебал в массив

Sergey

и не мог понять какого хуя место с расчетным не сходится

Sergey

3 дня думал

Sergey

чуть не уволился

Mikhail [azalio]

что так мало то

Dmitry

оу, у нас есть моддеры\админы :)

Aleksandr

блин гифку засейвить не успел

Sergey

бля, я только расчехлил

Mikhail [azalio]

pod? )

Dmitry

блин гифку засейвить не успел

Ушла в приват :)

Aleksandr

Ушла в приват :)

👍

Anonymous

>kubectl config set-cluster.. —certificate-authority-data={$CAD} Error: unknown flag: —certificate-authority-data почему он просит, чтобы я указывал путь до сертификата, а не сразу его base64 формат? почему я тогда могу потом зайти и вручную отредактировать поля и всё будет работать?

Anonymous

сам спросил сам ответил: потому что есть флаг —embed-certs=true, который делает то что я хочу

Maksim

сам спросил сам ответил: потому что есть флаг —embed-certs=true, который делает то что я хочу

Anonymous

"kubectl get pods Please enter Username:" почему он просит логин/пароль, когда я ему сертификаты засунул в конфиг? в прошлый раз, когда точно также ставил кубер (через kubespray) всё было ок..

Sergey

rbuc

Sergey

c 1.6 версии они там с rbuc деплоят

Sergey

в плейбуках можно найти дефолтные логин и пароль

Sergey

@alisabents

Sergey

точно помню, что там дефолт был changeme

Sergey

)

Sergey

docs/vars.md в самом низу

Anonymous

спосибки c:

Sergey

да нет за что

Sergey

вроде чат для этого и нужен)

Anonymous

https://kubernetes.io/docs/admin/authentication/ если еще раз перечитаю вот эти доки про юзеров в k8s, то я пойму как мне выпилить авторизацию по username/password и перекатиться обратно на сертификаты, как раньше?

Anonymous

или как вообще правильнее? для того, чтобы встраивать конфиг в CI/CD, то нужен особый токен с особо настроенными правами только на обновление определенных конфигов или как?🤔

Sergey

в апи сервере убрать использование авторизации

Aleksandra

https://kubernetes.io/docs/admin/authentication/ если еще раз перечитаю вот эти доки про юзеров в k8s, то я пойму как мне выпилить авторизацию по username/password и перекатиться обратно на сертификаты, как раньше?

Убрать base_auth авторизацию в kubespray легко. А для авторизации по сертификату достаточно сгенерить этот сертификат с помощью CA мастера

Aleksandra

Только вот отозвать сертификат нельзя будет

Aleksandra

Только полной перегенерацией всех ключей