например у вас есть юзер, которому разрешен выкат ВСЕГО только в один неймспейс? И что бы он не катнул в другой НС, нужны такие же права у юзера. Лично я не слышал о такой возможности. Но кейс логичен.

ага

грубо говоря helm сводит на нет идею с RBAC

да, я понял. У нас есть пару очень похожих кейсов, но не с хельмом. Пока очень тяжело с этим.

Проще не давать доступ к серверу и ограничить доступ на нажатие кнопок в pipeline )

грубо говоря helm сводит на нет идею с RBAC

это если tiller в кластере пускать, а ведь можно локально, на каждый деплой)

это если tiller в кластере пускать, а ведь можно локально, на каждый деплой)

а есть примеры?

мы встроили тилер в нашу деплоилку

но думаю можно и отдельно их бинарник запустить, передав корректный kubeconfig

тогде он не сможет вынести весь кластер из-за бага какого-нибудь)

интересное решение

о как. не подумал о таком косяке с хелмом. спасибо

грубо говоря helm сводит на нет идею с RBAC

https://github.com/kubernetes/helm/blob/master/docs/using_helm.md#tiller-namespaces-and-rbac You can run multiple Tillers provided they each run in their own namespace.

поделитесь, кто как поднимает сервер для charts?

artifactory все никак не сделают https://www.jfrog.com/jira/browse/RTFACT-10562

о том, что у tiller будет полный доступ и у всех кто его использует

У каждой юзер группы свой tiller и проблема решена.. не удобно, но проблема решаема

поделитесь, кто как поднимает сервер для charts?

Накануне возникла шальная мысль сделать на gitlab pages

написал скрипт для дампа всего и вся. если кому надо: https://github.com/smpio/kube-dump

вроде есть уже https://github.com/heptio/ark

Всем hi. Народ помогите новичку. в gcloud создаю контейнер с одним volumом. создается на ура. при диплое изменений в контейнере старый контейнер не удаляется, а новый не может создаться потому, что volume примапен к передыдущему. Unable to mount volumes for pod "xxxxx-deployment-3817506720-d0hq1_default(2fffb2f1-abe2-11e7-9168-42010a9c0004)": timeout expired waiting for volumes to attach/mount for pod "default"/"xxxxx-deployment-3817506720-d0hq1". list of unattached/unmounted volumes=[xxxxx-data] подскажите, что не так делаю - ? FailedAttachVolume Multi-Attach error for volume "pvc-3ab854fb-abde-11e7-9168-42010a9c0004" Volume is already exclusively attached to one node and can't be attached to another

Очевидно maxSurge/maxUnavailable не позволяют деплойменту прибить последний (и единственный) под

вижу, что в deployment сейчас как раз 2 шт. сервиса xxxxx-deployment-1472614167 1 1 1 1h xxxxx-deployment-3817506720 1 1 0 36m как можно их прибить, чтобы они не конфликтовали между собой?

Я бы все-таки прочел доку по вышеуказанным опциям

👍читаю, спасибо за подсказку.

поделитесь, кто как поднимает сервер для charts?

никак, написали скриптик, который читает gitrequirements.yam в котором: --- dependencies: - fetchurl: <GIT_CLONE_URL> revision: <BRANCH/TAG/COMMIT_ID> path: <PATH_INSIDE_REPO_TO_A_CHART>

такое ощущение, что все неправильные решения, какие можно было принять, Helm принял :) tiller на сервере, корявые тарболы вместо гита для зависимостей, плоские templates и проч :)

никак, написали скриптик, который читает gitrequirements.yam в котором: --- dependencies: - fetchurl: <GIT_CLONE_URL> revision: <BRANCH/TAG/COMMIT_ID> path: <PATH_INSIDE_REPO_TO_A_CHART>

не дописал, скриптик тащит зависимости и кладет их распакованными в charts/

написал скрипт для дампа всего и вся. если кому надо: https://github.com/smpio/kube-dump

вы пытались восстанавливать то, что сдампили? вы не выразаете кучу автосгенерированных полей, которые readOnly

я и не хотел их вырезать

у кого-нибудь возникала задача направлять часть трафика на другой сервис в зависимости от маски подсети? куда гуглонуть?

Под с nginx, а там ифчики, мапчики и прочие извращения

ну да, классика

Привет всем. Почитал правила. Зовут меня Александр. Работаю в хостинге - раздаем ВМы клиентам. Часть из них сами же обслуживаем. Специалист по виртуализации, сетям, линуксу, LAMP-стеку, мониторингу, бекапу. Также есть серьезный опыт в Энтерпрайзе с Windows + SAP. Интересен Kubernetes после докладов Келси Хайтауэра на Youtube и описания как работает Borg и SRE в Google. Есть желание изучить новые технологии. Общество интересно реальными вопросами Кубика из реальных сред. Узнал о группе из Гитхаб-списка топовых групп. Всем хорошей продуктивной недели.

mongodb-0 0/1 Init:1/2 0 31m как можно узнать из-за чего там зависон в initContainers?

describe?

там глухо

pv, pvc созданы? статусы какие?

места в разделе для /var/lib/docker достаточно?

все монтируется, все норм… вот видишь, мы пытаемся гадать, а не логи смотреть %) на контроллер видимо придется ползти хм

initContainers - это пачка one-time jobs в отдельных контейнерах, выполняющихся перед запуском пода, верно?

Очень похоже что так. Джоб должен выйти с 0

я бы начал с просмотра того, не висит ли сам процесс, завернутый в контейнер

kubectl logs mongodb-0 -c %имя-второго-инит-контейнера%

Кто-то уже обновился до 1.8 или пока не стоит ?

Не стоит до версии 1.8.1 думаю

Кто-то уже обновился до 1.8 или пока не стоит ?

На тестовом попробовал. Но мало.

Всем привет! Подскажите, можно ли в кубернете подсунуть в контейнер файлик при запуске не затирая всю папку? Пробовал через конфиг-мап - файлик кладётся в папку но остальные файлы из этой папки исчезают. А вообще надо заменить resolv.conf (может есть ещё какой способ) ?

сделать /etc/resolv.conf симлинком на тот, который будет монтироваться

Всем привет! Подскажите, можно ли в кубернете подсунуть в контейнер файлик при запуске не затирая всю папку? Пробовал через конфиг-мап - файлик кладётся в папку но остальные файлы из этой папки исчезают. А вообще надо заменить resolv.conf (может есть ещё какой способ) ?

не надо заменять resolv.conf, им управляет докер

какая конечная цель?

сделать /etc/resolv.conf симлинком на тот, который будет монтироваться

образ уже собран. на него можно воздействовать только кубернетом при запуске

какая конечная цель?

заменить записи в resolv.conf у кубернета не работает ДНС. на время его ремонта прописать туда внешний.

им управляет не совсем докер. в конфиге апи-сервера кубернета прописан адрес ДНС-а 10.3.0.1 но пока он не работает - нужно вместо него подставить внешний, чтобы сервисы хоть как то могли работать

образ уже собран. на него можно воздействовать только кубернетом при запуске

Во первых есть cm, который можно монтировать через mountpoint

во вторых есть alias -)

им управляет не совсем докер. в конфиге апи-сервера кубернета прописан адрес ДНС-а 10.3.0.1 но пока он не работает - нужно вместо него подставить внешний, чтобы сервисы хоть как то могли работать

не аписервера а кублета

дык измени endpoint для dns сервиса

Во первых есть cm, который можно монтировать через mountpoint

как раз выше написал про конфиг-мап - он затирает всю папку /etc/ и оставляет в ней один файл resolv.conf

нет не всю

https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/ не оно?

subPath параметр при mountPath

но вообще смысл там его заменять, если оно уже не работает

subPath параметр при mountPath

а можно ссылочку? я такого в мануале не нашёл

https://kubernetes.io/docs/concepts/storage/volumes/#using-subpath

Плюс можно подменить ендпоинт для днс сервиса

днс сервиса нет. он не поднимается

тогда разбирайся

без днс оно не комельфо

да, разбираюсь. но это займёт время. а пару сервисов надо оживить срочно((

Так у вас же ингресс не найдет сервис

я вам больше скажу)) у нас нет ингресса))

Все равно, есть ощущение, что вы решаете не ту проблему )

ингресс как раз всё найдёт ему днс не нужен

он хавает ендпоинты от сервиса

subPath параметр при mountPath

не, subPath походу не про то... он позволяет брать определённую папку из источника

Только к сервису он по имени идёт)

и файл

не, subPath походу не про то... он позволяет брать определённую папку из источника

Я Файл в фаил то же монтирую и именно через SubPath

и файл

но кладёт он его в папку точно так же? затирая папку-назначение?

но кладёт он его в папку точно так же? затирая папку-назначение?

Он монтирует Файл в Файл