Anatoliy
но при этом его создание там есть, а обращенияк нему нету... видимо кривой мануал
Artem
сложно сказать)
Anatoliy
да понятно) надо доки читать а не мануалы) но это уже мой косяк)
Artem
ну и - для прода есть секрет, в котором купленный серт, для остального кубелего. Так кажется логичнее
Anatoliy
ну и - для прода есть секрет, в котором купленный серт, для остального кубелего. Так кажется логичнее
а что мешает для прода лего пользовать?
Artem
тут по разному, где то не салидно, где то критично, чтобы открывалось прямо везде (есть проблемы со всякими там старыми андроидами)
Artem
в общем letsencrypt пользуем только для "технических" доменов
Sergei
Anatoliy
Понятно, спасибо.
И еще если не сложно - использует кто gogs + teamcity в кластере?
Khramov
Народ, немного не по теме. Может кто посоветовать очередь с делеями и уникальными сообщениями?
Sergey
кафка ребитмку
Sergey
хотя я не спец в очередях
Sergey
так, чтисто поддержать беседу, пока грамотные не придут
Khramov
:)
Khramov
Смотрели ironmq, там есть делеи, но не нашёл уникальности
Etki
exactly-once delivery технически невозможна
Etki
поэтому этой самой уникальности добиться тоже невозможно. насколько понимаю, самое близкое, что можно - это оптимистичная блокировка при запихивании в кафку (если это вообще технически возможно). но бросьте вы это, вы собираетесь mq превратить в базу данных.
Yuno
Народ, немного не по теме. Может кто посоветовать очередь с делеями и уникальными сообщениями?
В rabbitmq нативно делеев нет насколько мне известно
Alex
Гайз, а есть вопрос, правда он про OpenShift, но я думаю аналог решения в кубере натолкнёт меня на мысль. Можно ли сделать общий секрет для всех неймспейсов, чтобы потом линковать его к ServiceAccount. Нужно для доступа к external docker registry.
Maksim
Неа
Maksim
Все сущности всегда лежат в конкретном ns
Maksim
Вапиант вызывать api из еонтейнера и получать секрет програмно
Alex
thx!
Mihail
Mihail
может это конечно и не правильно, но работает
Anatoliy
я делаю секрет для реджистри в каждом неймспейсе
а что у вас собирает образы для реджистри?
Mihail
Баш :(
Maksim
https://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwiV4ND0ocXXAhWMKVAKHaKGCF4QFggnMAA&url=https%3A%2F%2Faccess.redhat.com%2Fdocumentation%2Fen-us%2Fopenshift_enterprise%2F3.0%2Fhtml%2Fusing_images%2Fsource-to-image-s2i&usg=AOvVaw3oBgosU5vb9DPGmHhtHcWt
Maksim
ой
Maksim
https://access.redhat.com/documentation/en-us/openshift_enterprise/3.0/html/using_images/source-to-image-s2i
Maksim
Вот правельный линк
Anton
как то отталкивает в openshift что кругом все images на centos
Vyacheslav
Всем привет. Вопрос: у меня есть приложение, которое вертится в k8s, у него есть ендпоинт и я хочу его закрыть и сделать доступным только внутри кластера. Как я могу это сделать?
Спасибо.
Sergei
Sergei
А можно по подробнее?
обычные сервисы, которые не type=LoadBalancer или не type=NodePort выделяют ClusterIP, который по умолчанию доступен только внутри кластера.
Vyacheslav
обычные сервисы, которые не type=LoadBalancer или не type=NodePort выделяют ClusterIP, который по умолчанию доступен только внутри кластера.
Окей, а если у меня ингресс ещё есть, то мне в нем надо ещё реврайтить этот path?
Sergei
то есть не сервис надо сделать доступным внутри кластера, а один из локейшнов ингресса
Vyacheslav
Да
Sergei
закройте локейшн на ингрессе совсем (отправьте на дефолт-бекенд) и ходите по сервису, который под бекендом
Sergei
вообще ходить горизонтально (внутри кластера) через ингресс - это удаление гланд через задницу, имхо.
G72K
Если не хочется добавлять Nginx, то есть вариант анонсить внутренние виртуальные подсети наружу c помощью BGP (принцип описан вкратце здесь - https://docs.projectcalico.org/v2.0/usage/external-connectivity), из коробки так сделать не получится (по состоянию на полгода назад)) - нужны доп манипуляции либо с bird внутри calico, либо со сторонним инчтрументом
Вот я таким вопросом задавался недавно в соседнем чате. Вы так делали? Как service IP анонсируется? Он же на всех нодах сразу, получается anycast, но с равными весами. Прикольно я понимаю, что TCP сессия тогда размажется по всем нодам и некому ее будет собирать и направлять в под?
Sergei
Вот я таким вопросом задавался недавно в соседнем чате. Вы так делали? Как service IP анонсируется? Он же на всех нодах сразу, получается anycast, но с равными весами. Прикольно я понимаю, что TCP сессия тогда размажется по всем нодам и некому ее будет собирать и направлять в под?
TCP-сессия не размазывается когда ECMP
Sergei
обычно там хеш от 5-set (srcip, srcport, dstip, dstport, proto)
G72K
TCP-сессия не размазывается когда ECMP
Я понимаю про ECMP, но отвечал на ответ с BGP решением. Или они как то вместе работают?
Sergei
Я понимаю про ECMP, но отвечал на ответ с BGP решением. Или они как то вместе работают?
ну BGP это всего лишь способ проинструктировать оборудование о выборе маршрута.
если маршруты в каком-то сетевом устройстве оказываются разного веса - TCP-сессия пойдет в основной маршрут.
если они одинакового веса (equal cost), обычно сработает ECMP и вся сессия пойдет тоже в один next-hop.
Alex
я делаю секрет для реджистри в каждом неймспейсе
Все ns работают с одним регистри, не кайфово копировать один и тот-же секрет каждый раз при создании нового ns
Sergei
проблемы возникают только при изменении анонсирования.
в этом случае живые долгоживущие TCP-сессии могут переехать, и, как следствие, разорваться.
Sergei
еще проблемы возникнут (редкий кейс), когда у вас несколько роутеров и они по разному хешируют. или вообще не хешируют.
Mihail
Все ns работают с одним регистри, не кайфово копировать один и тот-же секрет каждый раз при создании нового ns
Зачем копировать? Один раз ямл сделал и все
Khramov
В rabbitmq нативно делеев нет насколько мне известно
Народ, а кто работал с гластером, подскажите. Для того чтобы куб к гластеру конектилсч в неймспейсе нужно создавать сервис и ендпоинт. А есть ли возможность создавать это не в каждом неймспейсе, а сделать один раз? А то у нас уже 900 ннймспкйсов, и в каждом эта фигня. В итоге засирается все потихоньку
Khramov
Прикрепил не к тому сообщению <-<
Serega
900 неймспейсов? что у вас там за кластер и как вы это менеджите?
Khramov
Кластер небольшой, 27 нод. Сейчас ждём машины под второй такой же
Роман
Тем не менее - 900 ns?
Khramov
Угу
Khramov
Это пользовательские, когда чел начинает работу с нашей платформой ему выдаётся нс
Pavel
разве нельзя коннектиться к гластеру через один сервис в дефолтном ns, например?
Maksim
разве нельзя коннектиться к гластеру через один сервис в дефолтном ns, например?
можно и не дефолтовом....
aleksej
Привет. Может кто-то подсказать хостинг провайдера для kubernetes в России, чтобы была поддержка kubernetes как у гугла?
aleksej
чтобы датацентр здесь был, а то этот закон о персональных данных)))
Роман
А такое вообще бывает? Мне кажется, кубер не сложно развернуть на своих/арендованных серверах.
Anton
лучше наверное искать хостинг с возможностью свою внутреннюю l2 сеть иметь
aleksej
@tetramin сложно поддерживать в актульном состоянии kubernetes
Anton
шоб без инкапсуляции
Роман
@tetramin сложно поддерживать в актульном состоянии kubernetes
Человек просто нужен, который этим бы занимался.
Роман
Но в целом да, если есть такой сервис, то можно и без человека.
Sergei
лучше наверное искать хостинг с возможностью свою внутреннюю l2 сеть иметь
а вы интересовались, как в хостингах крупнее, чем "у нас две стойки в датацентре стоит" реализован "внутренний L2"? :)
Anton
vxlan over l3
Sergei
точно
Anton
но есть надежда что будет быстрее чем vxlan в ядре
Alex Sharov
господа, а как проще всего прикрутить к k8s ELK? Хочу в кибане логи смотреть
Anton
или ipip
aleksej
@tetramin да, но очень удобно когда обновление происходит без твоих усилий)
Maksim
господа, а как проще всего прикрутить к k8s ELK? Хочу в кибане логи смотреть
https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch
Роман
господа, а как проще всего прикрутить к k8s ELK? Хочу в кибане логи смотреть
Я собираю логи при помощи fluentd (ds), шлю в эластик (под). Кибана - уже дело техники.
Etki
(еще раз порекламирую идею о том, что инфраструктура хранения и наблюдения данных о здоровье какой-то системы должна лежать вне этой самой системы)
Anton
ну агенты то для сбора логов всеравно придется деплоить в кластер =)