Maksim
Замутить кластер с pgpool и stream recovory то не проблема
Maksim
но там вроде что-то было интреснее
Victor
stolon не?
Victor
https://github.com/sorintlab/stolon
G72K
у парса логов есть проблема - их надо писать всегда и везде. на статике отключили логи (например) - считай уже метрики поехали
Так с гистограмы "вообще по всему" толку мало, все равно надо смотреть по приложениям. Если отключили статику то срез "гистограмы статики" не нужны:)
Logan
Почему?
как минимум потому, что nginx нужно пересобрать под vts-module, пакета нет. а значит - пересобирать его надо при каждом обновлении. А еще он не кастомизируется никак
Logan
LUA я хотя бы подрихтовать могу при желании
Maksim
хмм.
Maksim
nginx-controller собран с этим модулем
Logan
точно? можно ссылку на указание на это?
Sergei
https://github.com/kubernetes/ingress-nginx/tree/master/images/nginx
без
Maksim
https://github.com/kubernetes/ingress-nginx/tree/master/images/nginx
без
почему у меня с ним?
Sergei
https://gist.githubusercontent.com/spuzirev/aa122e1862acdff613a93273b5ce26a0/raw/f83dadbddf9a2dd873d24f44fb83cc8835b7b3d7/gistfile1.txt
Sergei
прям щас с прода взял
Sergei
image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.9.0-beta.17
Maksim
у меня beta.3 и там vts есть-)
Maksim
это точно, я с его статистку по stream собираю
Sergei
vts и у меня есть. речь про lua
Maksim
а-)
Sergei
а, я ошибся.
Maksim
разговор как раз о том что vts нету-)
Sergei
дада, май фолт
Logan
весьма странный подход, как по мне. В общем, надо экспериментировать, я понял
Logan
как обычно
Denis
Привет! А тут поднимали тему управления секретами? Может есть лучшие практики? :)
Logan
Привет! А тут поднимали тему управления секретами? Может есть лучшие практики? :)
неоднократно и ни к какому выводну не пришли
Denis
Никто https://github.com/futuresimple/helm-secrets не юзал?
Vitalii
Привет! А тут поднимали тему управления секретами? Может есть лучшие практики? :)
У нас ansible-vault + makefile в каждом helm чарте. Схема несколько ущербная, но пока так
Logan
У нас ansible-vault + makefile в каждом helm чарте. Схема несколько ущербная, но пока так
я бы сказал, что это весьма адовая схема :)
Serega
+1 ансибл-ваулт )) ущербно ))
хочется внедрить hashicorp-vault, но пока плохо понимаю как оно будет все вместе жить. И, вероятно, понадобится все сервисы учить ходить в хаши-ваулт.
Aleksey
даю
Aleksey
у него есть тенденция становится точкой отказа и центром вселенной
Aleksey
ибо без него работать будет ничего.
Aleksey
там конечно всё стейтлес и вот это вот всё
Aleksey
мне фантазируется ситуация при которой становится не ясно что первично: сеть или секреты. и может сложится ситуация когда для доступа к секретам нужна сеть а она доступна после получения секрета.
Serega
все реально настолько плохо? может быть у кого-то success-story (hashicorp vault) ?
Aleksey
нет все не плохо просто требует инжерного подхода.
Roman
https://github.com/kubernetes/kubernetes/issues/10439
Aleksey
а мне вот интересны саксес стори в которых учавствует валт и pci dss
Vitalii
а мне вот интересны саксес стори в которых учавствует валт и pci dss
Я дилетант в этих вопросах, но получают же pci dss как-то без железных hsm в опечатанных датацентрах.
Значит с vault проходят:)
Dmitrii
коллеги, а может мне кто нибудь рассказать зачем у etcdctl дефолтныей ендпоинт использует 4001 порт вместо тех на которых etcd запускается?)
Vitalii
коллеги, а может мне кто нибудь рассказать зачем у etcdctl дефолтныей ендпоинт использует 4001 порт вместо тех на которых etcd запускается?)
как я помню 4001 - deprecated, но где-то всплывает видимо ещё
Dmitrii
стоит обновить? или есть причины по которой kubespray использует именно эту версию?
Anonymous
https://github.com/istio/istio/releases 0.3.0 вышло, рассказывайте кто тыркал впечатления :)
Sergey
Думаешь тут есть такие экстремалы )
Alexey
Ребят, а кто с с помощью spray ставил?
Alexey
вопрос после первого запуска когда ругнулся на маленькую оперативку - сделал виртуалки больше - запускаю плейбук - он где-то чёто закешировал? как сбросить кеш?
Alexey
спасибо - просто решил —flush-cache )
G72K
+1 ансибл-ваулт )) ущербно ))
хочется внедрить hashicorp-vault, но пока плохо понимаю как оно будет все вместе жить. И, вероятно, понадобится все сервисы учить ходить в хаши-ваулт.
была какая-то штука: запускаешь контроллер в кластере, он при первом запуске создает пару ключей, выставляет публичный всем желающи, потом комитишь в гит зашифрованое этим публичным ключом, деплоишь, контроллер видит новый ресурс и расшифровывает его создавай обычный Secret с результатом.
Igor
есть vault kubernetes auth backend, есть vaultenv, envconsul, confd, consul template. че вам не хватает?
G72K
хочется все в одном месте хранить (гит)
Igor
хочется все в одном месте хранить (гит)
плохое место. неудобно расшифровывать, не в рантайме, надо ключ где-то хранить. а с нативной интеграцией с волтом аутентифицироваться можно по сути сервис аккаунтами и в рантайме подпихивать секреты
Кирилл
Доброго времени суток коллеги! У кого нибудь есть опыт доставки клиентам кубера в виде блэк бокса, с возможностью минимального вмешательства по соображениям защиты от не совсем прямых рук? Каким путем вы воспользовались? Какие грабли могут возникнуть по пути?
Serega
была какая-то штука: запускаешь контроллер в кластере, он при первом запуске создает пару ключей, выставляет публичный всем желающи, потом комитишь в гит зашифрованое этим публичным ключом, деплоишь, контроллер видит новый ресурс и расшифровывает его создавай обычный Secret с результатом.
идея интересная. Но вот меня, допустим, интересует сценарий GKE. Где я получаю удобный кластер, но не контролирую мастер, и не могу быть уверен что мои secrets не будут скомпрометированы.
Serega
плохое место. неудобно расшифровывать, не в рантайме, надо ключ где-то хранить. а с нативной интеграцией с волтом аутентифицироваться можно по сути сервис аккаунтами и в рантайме подпихивать секреты
а вы используете hashicorp/vault-plugin-auth-kubernetes? я правильно понимаю, что для приложения всё происходит прозрачно, т.к. приложение просто взаимодействует с secret(vault backend) через service account ? vault сервер при этом может находиться за пределами кластера?
Serega
благодарю, что-то прояснилось )
Vladimir
Добрый день!
Vladimir
Друзья, помогите плиз с helm-ом =) Я установил zookeeper, все прошло хорошо, теперь хочу поставить кафку, а у нее в конфигурации нужно указать url zookeepera, не могу понять, как его получить правильно. Может кто с таким сталкивался?
Vladimir
Сча в сервисах вот так сидит
zc-zookeeper 10.103.215.8 <none> 2181/TCP 54m
zc-zookeeper-headless None <none> 2888/TCP,3888/TCP 54m
по идее должно работать если указать zc-zookeeper, но нет, не может законнектиться
bebebe
Смотри в чарт кафки, где задаётся зукипер и сделай override через values
Vladimir
я его отключил в чарте кафки, хотел каждый чарт отдельно ставить) так не покатит?
Vladimir
т.е. в чартке кафки вот что
zookeeper:
Enabled: false
Url: zc-zookeeper
Port: 2181
Vladimir
но похоже не может зарезолвить zc-zookeeper, может что-то с dns надо сделать?
Shamil
Урл к сервису задается примерно так zc-zookeeper.svc.example.com
Sergey
https://pages.awscloud.com/amazon-eks-preview.html
Sergey
кто-то уже регался?
Shamil
https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/
Shamil
Настрой свой dns, проверь видимость, с пода busybox
Vladimir
Спасибо, буду пробовать
Shamil
У тебя дэшборд настроен?
Vladimir
я на minikube, так что да)
Shamil
Проще всего, прямо в нем выбрать нужный под, нажать Exec и оттуда попинговать свой zookeeper
Shamil
если в одном неймспейсе, то будет пинговаться просто по имени сервиса, если в разных, то нужно еще dns суффикс дописывать.
Shamil
Попробуй по-разному, сперва проверь что по айпишнику отвечает