Большинство моих коллег не верят в существование этих единорогов

sre-engineer :)

Вообще, на мой взгляд, одна из самых больших перспектив кубика-это нормальный локальный энв для работы. У кубика есть миникуб и есть миникуб воркфлоу, который покпзывает, как замаунтить локальную директорию в аппку и жить припеваючи, работая и обновляя код микросервис на лету. А минишифт у меня не взлетел, как раз из-за всяких версий 0.9 и бет и обновлений, то есть в интернетах рекомендовали откатываться куда то и танцевать с бубнами. Это вот прям типичная бета, поэтому я опеншифта побаиваюсь. Хоть и код открытый и можно почитать итп

с версии 1.2 где-то уже хорошо стартует на локальном компе командой oc cluster up

советую еще раз попробовать

То есть минишифт не нужен? Тогда обязательно, да

я видимо что-то пропустил

а что есть минишифт?

Ну вот такой аналог minikube для локальной работы

Как средство избегания запуска маковского докера

oc cluster up делает тебе весь опеншифт на локальном компе, но оно не сохранится после ребута)

состояние кластера

В случае с маком чую не взлетит)

есть еще вариант скачать фул бинарь опеншифта

В случае с маком чую не взлетит)

поищи, потом расскажешь

Там же lxc нету, в принципе, они(минишифт и миникуб) в виртуалке поднимают linux какой то поднимают т с ним работают

Ок, поресерчу потыкаю

В случае с маком чую не взлетит)

Мак+вагрант+минишифт.

тут много может быть вариантов, не стартует именно дашбоард или любой под?

не стартуют почти все поды. днс стартует с этим warning после рестарта kubelet. Статус нод ready.

https://techcrunch.com/2017/03/28/google-launches-new-site-to-showcase-its-open-source-projects-and-processes/?ncid=rss

sre-engineer :)

SRE - это уже инженер. А изоляция сетевого доступа решается через policy, которая есть как минимум у weave и calico.

теоретически контейнер явно безопаснее кучи сервисов в одном сервере. На практике у контейнеров бывают дырки и приложения из них сбегают. Такие дырки находили у докера и у lxc. У rkt, по-моему, еще нет. Но вообще это нормально, технология молодая. Если кто забыл, году примерно в 2005 существовала рабочая атака на побег из vmware-вского hypervisor-а. Ее потом закрыли и более она нигде не проявлялась

вообще-то куб - это базовая оркестрация и управление ресурсами. Базовая - ключевое слово. Нельзя объять необъятное и написать все сразу. Ну или получится опенстек, не к ночи он будь помянут

вообще-то куб - это базовая оркестрация и управление ресурсами. Базовая - ключевое слово. Нельзя объять необъятное и написать все сразу. Ну или получится опенстек, не к ночи он будь помянут

В котором можно запускать кубик)

В котором можно запускать кубик)

ну так и в вм можно вм запускать, с некоторыми ограничениями

а VMS, по слухам, вообще ограничений не имеет - матрешка будет бесконечной, пока ресурсы не кончатся

ну так и в вм можно вм запускать, с некоторыми ограничениями

Не, там прямо из хорайзона можно

Просто еще один тип вм - кубик

Я это имел ввиду

Огонь :))

slowpoke.jpg

В следующий раз не пропускай)

о привет Лена и ты туь

хеллоу

а расскажите умеет ли кубер форс пулл имеджа при роллинг апдейте?

а то он нифига не перекачивает его походу пока деплоймент не удалишь

новая версия должна быть у имаджа

чтобы он заменил при роллинг апдейте

а без этого никак?

один и тот же имедж тег нельзя пулить с форсом?

хаки можт какие?

костыли

latest

ImagePullPolicy?

шо то шо это)

пулполиси только при пересоздании

latest не варик

подстава

Можно теги ставит на спек контейнера

Тогда обновит

spec.template.metadata.labels.bla-bla-version: 0.0.2

в деплойменте

https://twitter.com/dummdida/status/847416432191086592

кроме тебя никого не узнаю)

Это из Интела и редхата чуваки, тоже занимаются виртуалками на k8s

Пасиба

@DenisIzmaylov тут тов. Karthik Prabhakar - Director of Solution Architecture в Tigera хочет приехать на московский митап и рассказать про Calico. По русски он немного говорит, но доложить правда сможет только на английском

привет Если интересно вот про Калико на русском https://www.youtube.com/watch?v=trahMaf7_e0

я только поработать хотел сесть)

@DenisIzmaylov тут тов. Karthik Prabhakar - Director of Solution Architecture в Tigera хочет приехать на московский митап и рассказать про Calico. По русски он немного говорит, но доложить правда сможет только на английском

я не думаю, что у большинства будут проблемы с восприятием доклада на английском. Аудитория продвинутая :)

@DenisIzmaylov тут тов. Karthik Prabhakar - Director of Solution Architecture в Tigera хочет приехать на московский митап и рассказать про Calico. По русски он немного говорит, но доложить правда сможет только на английском

Как раз и проведём англоязычный как планировали :) Судя по DevOpsDays в целом у нас здесь все хорошо с английским

спрошу тогда может Мэтта, может он про Карго рассказать сможет

спрошу тогда может Мэтта, может он про Карго рассказать сможет

это будет здорово, ибо впечателния от карго крайне противоречивые. Его вообще кто-нибудь развивает?

да, Мирантис например

по-моему это и по коммитам видно https://github.com/kubernetes-incubator/kargo/commits/master

просто народ сейчас на kubecon

потому пауза в несколько дней

да, Мирантис например

просто я три дня угробил на попытку развернуть мультимастер кластер на карго, но у меня так и не получилось это сделать :) Отсюда и вопрос

Я три дня тоже разворачивал и не выходило, а потом почитал реадме и развернул ))

Я три дня тоже разворачивал и не выходило, а потом почитал реадме и развернул ))

ну елки-палки, я с фри начинал, читать мануалы я худо-бедно научился

даешь кубик на фре!)

даешь кубик на фре!)

cri доделают и можно пробовать :)

ребят, помогите. разворачиваю кубик с RBAC. в логах kubelet на мастере идет спам вот этими сообщениями Mar 30 19:52:10 node1.cluster1 kubelet-wrapper[4618]: E0330 19:52:10.561129 4618 reflector.go:188] pkg/kubelet/kubelet.go:378: Failed to list *api.Service: the server does not allow access to the requested resource (get services) Mar 30 19:52:10 node1.cluster1 kubelet-wrapper[4618]: E0330 19:52:10.985893 4618 reflector.go:188] pkg/kubelet/kubelet.go:386: Failed to list *api.Node: the server does not allow access to the requested resource (get nodes) не знаю куда копать. ClusterRoleBinding для сервис аккаунта вроде сделал: apiVersion: rbac.authorization.k8s.io/v1alpha1 kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1alpha1 metadata: name: system:kube-system-default-sa subjects: - kind: ServiceAccount name: default namespace: kube-system roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io

не понимаю какому компоненту доступа не хватает

не понимаю какому компоненту доступа не хватает

Почитай тут. https://github.com/kubernetes/kubernetes/issues/29177

кажись нужно роли system:node какие то пермишны дать, либо ноду добавить в system:node. буду разбираться

походу нужно в сертификат нод добавить /O=system:node

Господа вопрос. Немного мимо кассы. Я там в токе слышал про цикл статей об уязвимостях контейнеров. Может кто линком поделиться.

Я про доклад с митапа в авито

а как вы файлы копируете с пода на локальную машину?

а как вы файлы копируете с пода на локальную машину?

В кубе хз. В шифте есть rsync.

Попал на круглый стол GKE, есть что-то что прям очень хотелось бы донести до Гугла?

Ребяткушки, а как сделать мониторинг pv в кластере? io, free space и проч?

чтоб два раза н втавать: не подскажете как правильно синтаксис копирования подобрать? rsync --blocking-io -av --rsync-path= --rsh='kubectl exec scheduler-scheduler-4059268243-31pxz -i --' rsync:/tmp/backups/dump вот это шняга выводит не содержимое "/tmp/backups/dump" а содержимое "/"

Господа вопрос. Немного мимо кассы. Я там в токе слышал про цикл статей об уязвимостях контейнеров. Может кто линком поделиться.

@yolkov

@poselivanov ?

@poselivanov ?

https://medium.com/microscaling-systems/dockerfile-security-tuneup-166f1cdafea1 https://gianarb.it/blog/about-your-images-security-tips

Попал на круглый стол GKE, есть что-то что прям очень хотелось бы донести до Гугла?

будет здорово заиметь следующие фичи: - порядок загрузки (и/или приоритет загрузки) контейнеров в под и подов в нейспейс - какой-то вменяемый инструмент деплоя, а то сейчас их целая толпа и все они не работают :) - ограничение по количеству riops для хранилищ

ну и crio в стабильном виде хотелось бы

Ок, спрошу. CI/CD в плане обсуждения

Порядок загрузки подов - AppController