
Maksim
22.06.2017
09:08:48
Внешний урл Api сервера
И читай сислог)
Пока что диагноз: Api server мертв

Роман
22.06.2017
09:17:17

Google

Maksim
22.06.2017
09:17:53

Роман
22.06.2017
09:18:28

Maksim
22.06.2017
09:18:49
Всмысле сеть от контейнера до апи
Firewall

Роман
22.06.2017
09:20:37

Maksim
22.06.2017
09:21:03
Вот и ответ

Роман
22.06.2017
09:22:25
Вот и ответ
Настораживает то, что всё остальное работает. Надо как-то определённо настраивать сеть для аписервера?

Maksim
22.06.2017
09:23:39
Нет
У тебя нет icmp от контейнера жл апи. Это сетевая проблема. Рой что там в flannel и на l3 сети

Fike
22.06.2017
09:35:40
Админ!

Magistr
22.06.2017
10:28:51
коллеги а когда хочется оркестрации докера на 2х машинках, уже пора брать k8s или есть полегче альтернативы ?

bebebe
22.06.2017
10:29:50
полегче, docker swarm

Fike
22.06.2017
10:35:40
+ Nomad rancher

Google

Evgeniy
22.06.2017
10:48:55
может кто подскажет как у ранчера с поддержкой k8s дела?
просто вот с полгода назад пробовал - работало, недавно еще раз попробовал и только со второго раза зароботал, но без dashboard.
Там у них есть некая таблица совместимости с версиями докера и k8s, но на сколько ей верить не понятно
http://docs.rancher.com/rancher/v1.6/en/hosts/#supported-docker-versions
Ну и не видно чтобы как то кардинально документация по работе с k8s там улучшалась.
Есть такое ощущение, что там их Cattle хорошо поддерживается а все остальное чтобы было.
или все же надо просто аккуратно подобрать окружение в котором запускается?

bebebe
22.06.2017
10:49:42

Alisa
22.06.2017
11:09:09
если helm свои пакеты не удаляет, то ручками надо всё тереть?(
вот такая ситуация:
у меня бд в кластере, в нее могут стукаться мои сервисы из кластера, в инет ничего не смотрит, но мне еще нужно отдавать данные аналитикам и пускать их read-only запросы, я могу как-то поднять микросервис который это будет проксировать(какой?) или мне ставть external endpoint на эту бд? ?

Zon
22.06.2017
12:44:22

Alisa
22.06.2017
12:45:43
это хорошо так делать? я просто новенький тут у вас, не знаю еще что норм а что нет

bebebe
22.06.2017
12:46:05
haproxy/nginx, бд какая?

Alisa
22.06.2017
12:46:35
постгрес

bebebe
22.06.2017
12:50:06
`upstream postgres_cluster {
server postgresdb0:5432;
server postgresdb1:5432;
zone tcp_mem 64k;
}
server {
listen 5432;
proxy_pass postgres_cluster;
}`
грубый конфиг для nginx'a

Alisa
22.06.2017
12:50:28
добра тебе мил-человек! ❤️

Роман
22.06.2017
14:14:43

Maksim
22.06.2017
14:15:09

Роман
22.06.2017
14:15:41

Maksim
22.06.2017
14:16:13
я flanneld поднима как демон системы, а не demonsset кубера

Paul
22.06.2017
14:16:38

Роман
22.06.2017
14:16:45

Maksim
22.06.2017
14:16:51
ага
когда делаешь ерез cluster addon то кубер сосздаёт demonset и поднимает привелигерованный контейнер на каждой ноде

Роман
22.06.2017
14:18:25
Ладно. Попользуюсь пока canal'ом.

Maksim
22.06.2017
14:18:40
настройки фланела в etcd хранятся

Google

Роман
22.06.2017
14:22:25

Maksim
22.06.2017
14:23:12
Дык это не так важно)))

Роман
22.06.2017
14:27:24
Мне вот ещё, что интересно. Какие порты нужны ноде для взаимодействия с мастером? Хочу закрыть все порты и оставить нужные.

Magistr
22.06.2017
14:30:22

Роман
22.06.2017
14:30:53

Magistr
22.06.2017
14:31:52
iptables-save |wc -l
581

Максим
22.06.2017
14:31:57
https://coreos.com/kubernetes/docs/latest/kubernetes-networking.html
Практически все порты тут перечислены

Magistr
22.06.2017
14:32:13
там свой фаервол

Artem
22.06.2017
14:37:32
в чатике докера что-то тишина по этому поводу, попробую спросить тут, т.к. ситуация налогичная и в кубере внутри подов
nslookup api.telegram.org
nslookup: can't resolve '(null)': Name does not resolve
Name: api.telegram.org
Address 1: 149.154.167.200
Address 2: 149.154.167.199
Address 3: 149.154.167.198
Address 4: 149.154.167.197
Address 5: 2001:67c:4e8:f004::9
как пофиксить то, что не сразу резолвит имя
т.е. нслукап вроде отрабатывает, но если какое нибудь приложение пытается достучаться, то иногда не может отрезолвить

Artem
22.06.2017
14:38:28
https://forums.docker.com/t/docker-dns-issues-with-getaddrinfo/22907
один в один как тут
есть какие то воркэраунды как это можно обойти?

Максим
22.06.2017
14:44:21
Была именно такая же проблема на docker 1.11.*
Обновление до 1.12 все исправило

Artem
22.06.2017
14:45:01
сейчас стоит Docker version 17.03.1-ce, build c6d412e
а воз и ныне там(

Максим
22.06.2017
14:46:36
bridge или user-defined?
у нас была и ушла проблема в user-defined

Google

Artem
22.06.2017
14:47:22
в bridge

Dmitry
22.06.2017
14:50:00

Artem
22.06.2017
14:58:48
ага
это в gke
по дефолту

Роман
22.06.2017
15:00:15
Странное поведение. Поставил nginx-ingress-controller с куберовского гитхаба. И к нему идёт очень много подключений со всего мира. Понять не могу - что это?

Igor
22.06.2017
15:14:29

Admin
ERROR: S client not available

Роман
22.06.2017
15:14:49

Igor
22.06.2017
15:15:38
Значит flannel никуда не делся

Роман
22.06.2017
15:15:45
Заработало почему-то. Может у него свои какие-то настройки, которые деплоятся.

Igor
22.06.2017
15:16:46
Видимо заработал как CNI plugin, просто один flannel - это всего лишь оверлейная сеть

Роман
22.06.2017
15:17:28
Кстати, что характерно, я пробовал пинговать 8.8.8.8 с установленным фланнелем - у подов не было интернета. А у canal всё нормально.

Igor
22.06.2017
15:18:27
Calico там правит iptables не по детски :) Как-то насчитал под 200 rules
Но есть там ньюанс, без феликса закрыт трафик из пода на порты хоста

Alisa
22.06.2017
20:55:24
если мне в mongodb нужно несколько юзеров с разными правами, то это нужно в конфиге при деплое прописывать же?

Paul
22.06.2017
21:17:03
есть специальный способ выполнить команду при старте, поищи в доках. Не могу сейчас вспомнить, как называется

Fike
22.06.2017
21:21:18
init containers?

Alisa
22.06.2017
21:24:50
еще проблемка у меня при апдейте образа создается новый replicaset, а старый не удаляется :c
> kubectl set image deployment image:vN.B.C

Google

Anton
22.06.2017
23:27:58
>clean up policy

Роман
23.06.2017
07:48:14
Есть данные (код приложения и статика), которые (почти никогда) не изменяются. Сейчас это хранится прямо в образе. Но есть проблема: это хранится сразу в двух образах: php и nginx.
Вопрос вот какой: есть какой-то способ, типа волюма, чтобы подключить его и туда, и туда? Или лучше какой-то контейнер, который будет заниматься только копированием файлов в это хранилище, и не висеть, как запущенный процесс. Просто сами волюмы, вроде как, говорят, не очень правильно для этого использовать.


Zon
23.06.2017
08:01:30
Есть данные (код приложения и статика), которые (почти никогда) не изменяются. Сейчас это хранится прямо в образе. Но есть проблема: это хранится сразу в двух образах: php и nginx.
Вопрос вот какой: есть какой-то способ, типа волюма, чтобы подключить его и туда, и туда? Или лучше какой-то контейнер, который будет заниматься только копированием файлов в это хранилище, и не висеть, как запущенный процесс. Просто сами волюмы, вроде как, говорят, не очень правильно для этого использовать.
Я цепляю ридонли диски, но процесс их обновления так себе. Пришлось обвязку написать, чтоб из сторадж бакета копировать в диски, которые потом к подам цепляются


Denis
23.06.2017
08:11:07
Привет!
Собрал кластер по мануалу (только на своих виртуалках CentOS 7.3)
https://github.com/kelseyhightower/kubernetes-the-hard-way
На шаге https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/08-network.md
поставилл Flannel на воркеры (через systemd), подсеть такая же как podCIDR.
Запустил nginx (https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/10-smoke-test.md)
После некоторых плясок с настройкой докера, все взлетело.
Решил поставить dashboard
> kubectl create -f https://rawgit.com/kubernetes/dashboard/master/src/deploy/kubernetes-dashboard.yaml
> kubectl get pods --namespace=kube-system
NAME READY STATUS RESTARTS AGE
kube-dns-321336704-qp4tj 4/4 Running 0 11h
kubernetes-dashboard-2039414953-kcp15 1/1 Running 0 9h
Поднял kubectl proxy
Кидаю GET http://127.0.0.1:8001/ui
отвечает
Error: 'dial tcp 10.200.0.10:9090: getsockopt: no route to host'
Trying to reach: 'http://10.200.0.10:9090/'
В чем может быть проблема? (10.200.0.0/16 это подсеть подов)
Есть ощущение что flannel не используется как надо, как жто проверить?
Надо ли как то дружить flannel и cni ?


Роман
23.06.2017
08:29:52

Denis
23.06.2017
08:40:15
ну все таки хочется понять что не работает ) а не тыкаться в разные решения

Роман
23.06.2017
08:41:31

Andrey
23.06.2017
08:46:58
немного оффтопа: если вкратце как посоветуете чарты через helm создавать для баз данных? стейтфулсеты вроде как правильнее но проблема с обновлениями, деплойменты проще обновляются но падают от любого ветра, демонсеты сложно разруливать

Evgeniy
23.06.2017
08:50:51
@notxcain
Привет.
ты вроде писал, что пробовал ранчер - интересно ты там тоже k8s пускал и завелось ли оно?

Denis
23.06.2017
08:51:31
@strobegen я понял что хочу понимать как это все работает и решил с нуля поставить и настроить
ранчер у меня кстати не завелся
даже etcd не стартанул

Evgeniy
23.06.2017
08:52:03
это да, там просто вагон всего скрывается

Denis
23.06.2017
08:52:03
магия хорошо, когда знаешь как она делается