а в чём собствнно вопрос?
автоматический rotate сертификатов и синхронизация CRL ..
Ivan
Maksim
ну с монго дб не возился
Maksim
у меня опыт только с crt auth на базе nginx
Maksim
ca живёт в секрете и маунтиться в под...при пересоздании пода всё ок...
Maksim
и смене сервера
Ivan
интересна именно динамика, ротация сертификатов для сервиса в поде скажем каждые 2недели, pki это делать умеет, но со стороны клиента нужна автоматизация, что то вроде lets encrypt но self-signed
Roman
Добрый день, не совсем понятно так должно быть или нет
Есть кубер в aws, есть сервис с type: LoadBalancer. И в лоадбалансер он добавляет все ноды из кластера а не те на котрых запущены поды
Roman
Мне кажется это не совсем правильно
Etki
Насколько понимаю, даже LoadBalancer подразумевает под собой обычную сущность сервиса с попаданием на конечный под через iptables. Пытаться локализовать поды в сложном приложении в долгосрочной перспективе практически невозможная задача, трафик все равно будет постоянно бегать между нодами, если только жестко не привязать все поды к нодам, и один дополнительный хоп здесь вряд ли даст критическую задержку. А вообще конечно клево было бы.
Roman
Было бы круто, если будет к примеру 100 интсансов с 20 проэктами и все ноды будут друг на друга прокисровать то сеть выдержит или нет?
Maksim
друг на друга они проксировать не будут
Maksim
только от входа до endpoint
Logan
Модераторы?
Dmytro
Ктото использует https://rook.github.io/? пробую прикоутить его и есть несколько проблемных точек
Dmytro
а также есть ли возможность дебага Persistent Volume Claims, а то лежить в Pending и не пойму почему не хочет билдится с Storage Classe
Dmitry
Ктото использует https://rook.github.io/? пробую прикоутить его и есть несколько проблемных точек
дадада, расскажите - я умираю от любопытства
Dmytro
дадада, расскажите - я умираю от любопытства
одна с проблем это не хочет уходить в ребут нода, если есть примаунеч под к персисту Пишет что "INFO: task jbd2/rbd0-8:1212 blocked for more than 120 seconds. и потом видно что под тоже "INFO: task mysqld:1528 blocked for more than 120 seconds" и потом "libceph: mon1 10.3.54.92:6790 socket closed (con state CONNECTING)" повторяет до бесконечности
Dmitry
похоже что лучше спросить в чате сефевиков
Dmytro
если сделать ресет, то нормально стартует. Но у меня стоит coreos и он сам автоматически ребутится если есть новые обновление системы
Dmitry
если сделать ресет, то нормально стартует. Но у меня стоит coreos и он сам автоматически ребутится если есть новые обновление системы
там же вроде есть политика про ребут
Dmytro
да, мне и нужно чтобы они обновлялись, но из-за подвисона, приходится в ручную ребут по всем нодам вызывать через ресет, что не очень
Øk_gø_løve
Всем доброго времени суток и хорошего дня.
Øk_gø_løve
К сожалению, сразу же с вопросом.
Изучаю замечательный сабжевый продукт.
У меня есть GCE, на котором я хочу поднять traefik с автоматическим получением Let's Encrypt. Статья нашлась, но она рассчитана на локальный Kubernetes.
Я же делаю это в гугловом клауде. На данный момент после просмотра кучи туториалов и всего подобного не могу понять, как заставить Ingress слушать внешний IP адрес, который я создал в GCE.
Буду благодарен за помощь.
Anton
кажется вам достаточно будет service описать для вашего деплоймента traefik с type loadbalacer
Øk_gø_løve
кажется вам достаточно будет service описать для вашего деплоймента traefik с type loadbalacer
В таком виде оно работает, да.
Но у меня планируется много виртуальных хостов за данным Ingress.
Øk_gø_løve
И все это еще должно использовать SSL.
Anton
я не понимаю проблемы. все вроде тоже самое, просто больше А записей для ip адреса, нет?
Øk_gø_løve
Меня зовут Михаил.
Работаю в IT компании в Риге (перекатился из России).
Ранее занимался QA/DevOps в Лаборатории Касперского и Netris.
В гугле первая же ссылка ведет на группу.
#whois
Anton
траефик думаю умеет tls sni
Øk_gø_løve
Недостаток знаний, конечно, мешает поставить вопрос более подробно.
Øk_gø_løve
я не понимаю проблемы. все вроде тоже самое, просто больше А записей для ip адреса, нет?
Окей, а как можно прибить externalIP к Service?
loadbalancerIP?
Øk_gø_løve
Ну и раз уж на то пошло мне уже банально интересно, почему это добро отказывается работать.
Anton
я с gce не работаю, у меня baremetal.
вам нужно начать отсюда https://kubernetes.io/docs/concepts/services-networking/service/#type-loadbalancer
bebebe
Anonymous
Roman
Вопрос по логированию почти решился, остался последний вопрос
Логи приложения пишутся в лог оттуда их будет брать filebeat и отправлять в graylog.
Теперь вопрос, я хочу запустить контейнер с filebeat как sidecar . И брать логи с какого то волума, умеет ли kubernetes volumes_from?
Roman
Так ка если монтировать на фс то возможно при скейлинге подов 2 приложения filebeat смонтируются в одну папку и будут посылать одно и тоже
Anton
я volumes_from искал тоже как то, но обнаружить не удалось
Etki
это не докер, логическая единица - не контейнер, а под
Etki
поду можно выделить emptyDir, который примонтировать потом всем контейнерам
Anton
а emptyDir в рамках ноды при апдейте сохраняется? тоесть для деплоймента пришел апдейт, создался новый репликасет и поды, старый emptyDir из старых подов попадет в новые на том же хосте?
Anton
или emptyDir не переживает даже апдейт?
Etki
насколько помню, emptyDir живет время жизни пода (но это не точно, нужно доку смотреть)
Anton
читаю как раз, похоже что на под завязан и все похерится между апдейтами
Etki
но если вы хотите, чтобы он пережил апдейт, вы что-то делаете не так
Roman
Он создается с уникальнмы именем, если два пода на одной машине то они вконектятся в один emptyDir?
Etki
читаю как раз, похоже что на под завязан и все похерится между апдейтами
скорее всего вам нужен persistent volume
Etki
Он создается с уникальнмы именем, если два пода на одной машине то они вконектятся в один emptyDir?
насколько помню, у каждого свой
Roman
О, спасибо. Сейчас потестирую
Anton
аппу вроде как можно стартовать и с нуля. просто кэш набивать, это трафик =)
Etki
кэш не долен быть привязан к инстансу приложения :\
Anton
а к чему кэш должен быть привязан?
Etki
кэш должен быть отдельным сетевым сервисом, как и БД. про это по-моему даже в 12fa написано, или в какой-то другой недалеколежащей рекомендации
Sergei
кэш должен быть отдельным сетевым сервисом, как и БД. про это по-моему даже в 12fa написано, или в какой-то другой недалеколежащей рекомендации
вы же понимаете, что кеш это очень широкое понятие?
Etki
иначе про инвалидацию можно тупо забыть
Etki
я понимаю, что почему-то очень ценно опровергнуть мои слова
Anton
это же интернет
Anton
у меня в общем как раз кэш - отдельный сервис. их еще и много разных
Sergei
потому что кеш внезапно должен быть настолько близко, насколько это возможно в условиях задачи.
и если он может быть в памяти процесса - то это замечательно.
Etki
да просто повторюсь про инвалидацию
Etki
так-то и данные можно не в бд хранить, а прямо в файлах рядом, и оно и быстрее будет
Sergei
а вы кешом не называете ли быструю бд c strong consistency?
Etki
я имею в виду хранилище с любой консистентностью
Sergei
если у вас есть атомарная инвалидация, то чо б данные в этом кеше не хранить, раз он такой замечательный
Etki
да боже
Etki
где я сказал про атомарную инвалидацию?
Sergei
иначе про инвалидацию можно тупо забыть
Sergei
да просто повторюсь про инвалидацию
Etki
АТОМАРНУЮ
Sergei
про атомарную сказал я.
но если у вас неатомарная инвалидация, то ээээ, в чем ее ценность?
Etki
в самой ее возможности
Sergei
ладно, я докапываюсь зря.
Anton
Sergei
злой с утра, пардон.
Etki
ура
Etki
короче я тоже слегка злой сейчас, прошу прощения, подостыл