Это я знаю, у меня более занятная ситуация - у cloudbuilder только один убогий токен, который даёт доступ только к реджистри и гит репам. IAM не работает, доступ к остальному не выдает. думаю как обойти.

хранить client-cert негде

оффтоп: внезапно стал падать nginx-ingress без ошибок - I0413 14:54:48.426355 1 main.go:145] Handled quit, awaiting pod deletion

у кого встречалось?

а не, вижу ошибку: could not build server_names_hash, you should increase server_names_hash_bucket_size: 64

в задницу ингрессы короче... лучше самому конфигурацию руками собирать

есть у кого рецепты простые как lego/letsencrypt прикрутить к ванильному nginx?

http://doam.ru/https_in_nginx_using_letsencrypt/

есть у кого рецепты простые как lego/letsencrypt прикрутить к ванильному nginx?

а что там может быть сложного? Нет, я правда не понимаю

вот в автоматическом режиме nginx получать их не умеет (но это, по-моему, только traefik умеет, и то я не тестировал еще)

Ну ясен пень автоматически, не руками ж

Во мне тут подсказали

https://github.com/ditointernet/nginx-ssl-proxy/tree/beta

я отдаленно знаю, о чем речь kube-lego только здесь слышал), но в общем-то там все ссводится к записать в post-renew-hook сертбота команду на релоад nginx

Во мне тут подсказали

а loadbalancer на nginx уже научился работать с хостнеймами? У меня BMR, сервисов десятки - я не напасусь адресов

@vkfont ты можешь сам настроить nginx-ingress используя темплейт

kubectl --namespace ingress create configmap nginx-template --from-file=nginx.tmpl

volumeMounts: - mountPath: /etc/nginx/template name: nginx-template-volume readOnly: true volumes: - name: nginx-template-volume configMap: name: nginx-template items: - key: nginx.tmpl path: nginx.tmpl

Ребят, а есть кто-нибудь, кто терраформом поднимает кубик? Или кто-нибудь знает хороший канал о терраформе

Ребят, а есть кто-нибудь, кто терраформом поднимает кубик? Или кто-нибудь знает хороший канал о терраформе

+

Мы умеем, спроси @takama

А чего вас в @ceph_ru нет?)

я там был

там скушненько

Ну, хозяин барин)

если кто столкнется вдруг с тем что nginx ingress начнет падать из-за большого количества доменов, и захочет как я починить увеличив размер хэша - имейте ввиду что названия в nginx и в nginx ingress бывает не совпадают из-за опечаток разработчиков :) https://github.com/nginxinc/kubernetes-ingress/issues/34#issuecomment-294088974

server_names_hash_bucket_size - из-за длинного имени домена тоже может падать

Сэры, а есть где-нибудь хороший самоучитель для k8s? А то меня спрашивают и простой поиск по гуглу только на официальный гайд выводит, а там по большей части "трям-брям-и оно работает". Будет супер, если еще и на великом и могучем.

Сэры, а есть где-нибудь хороший самоучитель для k8s? А то меня спрашивают и простой поиск по гуглу только на официальный гайд выводит, а там по большей части "трям-брям-и оно работает". Будет супер, если еще и на великом и могучем.

возьмите курс на udacity, он для новичка очень неплох

Хм, а вот ткнуть в какие-нить онлайн-сборки не догадался. ок, пошлю, пусть ищут :)

Сэры, а есть где-нибудь хороший самоучитель для k8s? А то меня спрашивают и простой поиск по гуглу только на официальный гайд выводит, а там по большей части "трям-брям-и оно работает". Будет супер, если еще и на великом и могучем.

http://bit.ly/2kwW8tw - вот это можете посмотреть еще. Для начала хватит.

Я пытаюсь из CI напрямую helm использовать, но не понятно, как безопасно к tiller серверу подключиться. Есть идеи? Кто-то пытался?

Мы впилили tiller в нашу деплой тулзу, теперь и патчить легко и привилегии дропаются до минимальных для конкретного деплоя

хранить client-cert негде

Тащить из vault

а не, вижу ошибку: could not build server_names_hash, you should increase server_names_hash_bucket_size: 64

nginx-ingres конфигурится конфигмапом, точно ключ не скажу, смотри в темплейте nginx.conf

Посоветуйте дельную инфу или статьи по кубернетосу. Не знаю что это, по работе нужно понять.

Посоветуйте дельную инфу или статьи по кубернетосу. Не знаю что это, по работе нужно понять.

в офф доке разжевано. там еще есть туториалы и видюшки от гугла

а loadbalancer на nginx уже научился работать с хостнеймами? У меня BMR, сервисов десятки - я не напасусь адресов

Да, мы пользуем. В днс создаем '*.domain' который указывает на ингрес хосты. Приложения затем в своем Ingress пропиывают 'host: appname.domain'

Тащить из vault

Насколько я помню волту тоже нужен токен передать

Мы впилили tiller в нашу деплой тулзу, теперь и патчить легко и привилегии дропаются до минимальных для конкретного деплоя

Но приятно понимать, что я не один такой)

Насколько я помню волту тоже нужен токен передать

Как аутенфицироваться в vault это целая история. Нам повезло - у нас AWS, п значит все простл

Как аутенфицироваться в vault это целая история. Нам повезло - у нас AWS, п значит все простл

Да, история про курицу и яйцо:) пока сделал инкластер дрон, как контейнер билдер починят буду его использовать

Не могу понять, как поднять на своем железе сервис с типом LoadBalancer. Везде написано что это работает только в облаках, но не верю, что нет способа поднять у себя аналогично настраиваемый nginx+. Кто копал в эту сторону, просветите?

Не могу понять, как поднять на своем железе сервис с типом LoadBalancer. Везде написано что это работает только в облаках, но не верю, что нет способа поднять у себя аналогично настраиваемый nginx+. Кто копал в эту сторону, просветите?

Поднимайте ingress controller на основе Nginx,

А сервисы делайте хоть headless потом, все равно из них контроллер будет брать только живые endpoints

ясно. я мечтал так чтоб указал тип LoadBalancer и оно раз и создалось само)

Ну Nginx ingress контроллер примерно такой же по уровню удобства. Создали один раз, выставили наружу, а потом приложения в дополнение к Service, будут еще и Ingress создавать, не сильно значимое усложнение

в принципе да. а, вот ещё какой момент непонятен, как сделать это отказоустойчиво. если ингресс контроллер один, то все ломается когда его нода падает. а если два или больше, то имеем несколько ip адресов и необходимость балансировать эти адреса снаружи. Готовить внешние nginx+ или F5 я умею, но возникает ещё один уровень балансировки.

ну вопервых rs и контроллер по liveness пробе запустят под на другой ноде в случае падения ноды с контроллером

то есть даун тайм измеряется минутами...(особенно если предварительно пульнуть его )

ну и кто запрещает делать dns round robin ?

и иметь несколько ip на домен?

ещё можно делать через iptables перенаправление...

запустит, да, но это время, а хочется чтоб они в параллель работали. dns round robin не хотелось бы, т.к. оно будет попеременно отдавать fail и success)

можно оторвать ingress-controller от кубера и поставить его в докере...

и соорудить отказоустойчивость на каком-нить peacemaker

Если делать отаказоустойчивость, то нужно уходить в дублирование. ТО есть либо делать Demon Set внутри Кубера, и снаружи нахлабучивать доп балансир, либо делать его внешним для облака. и так же дублировать

если облака брать то там трафик приходит с венешнего балансировщика на сервис ingress controller, а за сервисом хоть 1 хоть 100 подов может быть

https://github.com/kubernetes/charts/tree/master/stable/nginx-ingress

Вариант внешнего балансера мне нравится больше всего

запустит, да, но это время, а хочется чтоб они в параллель работали. dns round robin не хотелось бы, т.к. оно будет попеременно отдавать fail и success)

ingress controller пусть создает сервис NodePort, затем в F5 добавьте все нодв кластера. И имейте столько контрллеров сколько зотите

и соорудить отказоустойчивость на каком-нить peacemaker

Ужас зачем вы так

ERROR: S client not available

Это не я так придумал)

ingress controller пусть создает сервис NodePort, затем в F5 добавьте все нодв кластера. И имейте столько контрллеров сколько зотите

Да, типа того

Только у меня Калико, можно трафик гнать напрямую на поды без nodeports, но это мелочи

возьмите курс на udacity, он для новичка очень неплох

плюсую

https://news.ycombinator.com/item?id=14112838

Спасибо

Говорят Заландо в cncf вступили, молодцы

вы уверены, что это сюда?

а она везде

я предлагаю зарепортить

можно только заблочить (

я думаю - имеет смысл предложить Ирине не потить охотничьи угодья и удалить пост. Если человек не понимает - значит, видимо, придется прощаться

думаю она даже не заглянет сюда больше

Ярмарка вакансий

Это такой типа нии алкоголизма ищет уборщицу

Нннада секретарша после шараги

Они кажется вообще со своей рекламой не думают

Говорят Заландо в cncf вступили, молодцы

да, как end-user supporter

коллеги, кто как реализует backup данных из куба? Есть best practice?

мы толькочто замерджили в kube-aws бэкап и рестор

глянь последние коммиты

мы толькочто замерджили в kube-aws бэкап и рестор

у меня BMR, увы

ну и что? :) надергать шел скрипты это не мешает )

а ссылку на коммиты можно? если не трудно

https://github.com/kubernetes-incubator/kube-aws/pull/507

https://github.com/kubernetes-incubator/kube-aws/pull/535

это немного не то, что мне нужно. Но все равно спасибо

А что нужно? Может нам тоже нужно )