coreos/hyperkube

а в чем разница между v1.6.6_coreos.1 и v1.6.6_coreos.0 ?

а также никого не смущает что там в отчете security scan 18 critical CVE ?

https://quay.io/repository/coreos/hyperkube/image/2b695152fc71ce2aca6e0ecd3fddae43c8602fb374c65260a9a3806f8d671986?tab=vulnerabilities

например

а также никого не смущает что там в отчете security scan 18 critical CVE ?

ты кликни на них, я глянул парочку, там CVE только на apple платформах применимы были

(тем любопытнее, что quay security scanner принадлежит самим coreos)

Вот меня тоже это удивило )

А насчет суффикса 0 и 1 не подскажешь?

мне кажется суффикс это пересборка на новом базовом образе

но никогда не проверял, беру последние )

хм, а если я requests.cpu нигде не прописываю, а прописываю только limits.cpu то почему вижу сообщение No nodes are available that match all of the following predicates:: Insufficient cpu (5).? или я что-то пропустил в доках?

была ручка где-то, которая за тебя прописывала лимиты, если не указано

но никогда не проверял, беру последние )

проверю, спасибо )

а ок значит надо явно указывать, спасибо

подскажите как понять какой StorageClass нужен?

Всмысле?

сам оценивай какое твое хранилище быстрее какое медленее

например ceph на 30Gb/s явно быстрое)

подскажите как понять какой StorageClass нужен?

в смысле - какой? название же из головы

для базы fast, для статики slow

Дык там сам назначаешь название для каждой своей хранилки подключенной к куберу)

Называй как хочешь :) главное указать к чему цепляешь чепез provisioner parametre

хоть серое-бурое в крапинку назови) куберу не важно

Называй как хочешь :) главное указать к чему цепляешь чепез provisioner parametre

ааа, ясно

спасибо

Называй как хочешь :) главное указать к чему цепляешь чепез provisioner parametre

как туда указать ноду в которой будут хранится данные?

как туда указать ноду в которой будут хранится данные?

в смысле? сторадж - отдельная сущность

похоже я что то не так делаю

ну вот есть у меня машина в которая будет выступать стораджем. вот как ее указать в параметрах для PersistentVolume?

машина сама по себе не может быть стораджем, стораджем может быть сервис

либо (в виде исключения) hostPath и прочие штуки, созданные исключительно для отработки интересующих штук, но не использования в проде

под сервисом имеется в виду какой-то поставщик вольюмов хранения (ceph, nfs, прочее), а не кубернетесовский сервис

hostPath он наверное имеет в виду

он имеет в виду одну машину, которая будет хранить данные всего кластера

ну не совсем всего кластера

hostPath он наверное имеет в виду

работает только на мастере?

работает только на мастере?

Работает только на хосте

При создания пода, создаёт Папку на Хосте и монтирует в под в качестве vilume

И кажись очищает при смерти пода)

В последнем не уверен, нужно доку читать

теперь понял

спасибо

И кажись очищает при смерти пода)

не очищает

не очищает

я просто сразу на ceph и nfs сел)

один hostPath могут примонтировать много под, если хоть одна очистит, то остальные повалятся по сути

Работает только на хосте

а хост имеется ввиду та нода, на котором Pod поднялся?

а хост имеется ввиду та нода, на котором Pod поднялся?

да

один hostPath могут примонтировать много под, если хоть одна очистит, то остальные повалятся по сути

а они не разные для разных подов?

я просто сразу на ceph и nfs сел)

мы потыкали в gluster, но что-то как-то не очень. Решили вообще от provisioning'а отказаться

мы потыкали в gluster, но что-то как-то не очень. Решили вообще от provisioning'а отказаться

и юзаете сейчас hostPath ?

а они не разные для разных подов?

как папка на одной машине может быть разная?

и юзаете сейчас hostPath ?

да, с самописным драйвером монтирования шард

И кажись очищает при смерти пода)

полчаса пытался сообразить, откуда у меня такие же воспоминания - это emptyDir, оказывается

И кажись очищает при смерти пода)

empty очищает, hostPath - нет

Ребят кто пускал websocket через nginx ingress? Делаю по мануалу а ingress стирает заголовки "Connection" и "Upgrade"

и в итоге не получается открыть ws коннект

Ребят кто пускал websocket через nginx ingress? Делаю по мануалу а ingress стирает заголовки "Connection" и "Upgrade"

у нас 0.8.3 не стирает

А есть ли в кубах возможность сделать локальный named volume из докера? Или только hostPath и всё?

зачем? в поде все контейнеры видят вольюм

Ребят кто пускал websocket через nginx ingress? Делаю по мануалу а ingress стирает заголовки "Connection" и "Upgrade"

значит, вы в конфиг-мапе где-то ошиблись

ERROR: S client not available

зачем? в поде все контейнеры видят вольюм

Как минимум из за того, что можно случайно обосраться с mount'ом на несуществующие директории и из за прав на директории, конечно.

вы /etc собрались маунтить?

А есть ли в кубах возможность сделать локальный named volume из докера? Или только hostPath и всё?

что-то вроде emptyDir?

@rossmohax Да, вроде этого, но с персистом.

@etkee нет, собрался маунтить эластик, к примеру. Но у эластик запускается в контейнере от юзера отличного от рута. При маунте на хост я ожидаемо получу ошибку с правами.

мда, я думал это говно уже везде починили

в хабовском репозитории по умолчанию рут

@etkee Вот, кстати, об этом в хорошей статье https://blog.amartynov.ru/docker-named-volumes/

спасибо, я давно уже решил, что вольюмов надо просто избегать как огня

@etkee нет, собрался маунтить эластик, к примеру. Но у эластик запускается в контейнере от юзера отличного от рута. При маунте на хост я ожидаемо получу ошибку с правами.

Pod.SecurityContext.FsGroup , при монтировании вольюма кюб делает chmod на всё содержимое

@rossmohax Спасибо! Попробую поиграться с этим.

@FolderArchive - канал, где сливают платный полезный - образовательный контент и курсы, например можно скачать курсы "Нетологии" или все курсы "Бизнес Молодости".

@etkee нет, собрался маунтить эластик, к примеру. Но у эластик запускается в контейнере от юзера отличного от рута. При маунте на хост я ожидаемо получу ошибку с правами.

сам докер же маунтит и от рута ессно, а содержимое уже от пользователя из контейнера

Хочу бабу

@nodekra В случае с маунтами на хосте ("/state/elastic:/usr/share/elasticsearch/data") будет сохраняться мета хоста, что логично и решение приходит простое и убогое: chmod на нужные права снаружи или chown изнутри. Но это чисто проблема на инициализации. Если юзать named volumes(ну или олдовый вариант с data containers и volumes-from), то проблема, естественно, пропадает, потому что мета сохраняется контейнерная.

@nodekra В случае с маунтами на хосте ("/state/elastic:/usr/share/elasticsearch/data") будет сохраняться мета хоста, что логично и решение приходит простое и убогое: chmod на нужные права снаружи или chown изнутри. Но это чисто проблема на инициализации. Если юзать named volumes(ну или олдовый вариант с data containers и volumes-from), то проблема, естественно, пропадает, потому что мета сохраняется контейнерная.

Ты ничего не путаешь? Маунт точно также назначает права из контейнера, как и volume. Это же одно и тоже, src только разный

@nodekra Увы, на инициализации не назначает. Можешь проверить с эластиком к примеру. Просто я часто попадался на такое, у нас были любители делать host mounts вместо named volume.

Он просто отваливается из за недостатка прав

Я буквально вчера elk поднимал

Также логстеш, кстати

Официальный контейнер?

https://www.elastic.co/guide/en/elasticsearch/reference/current/docker.html

Сначала через маунт, потом на волумы перевёл- удобнее

У named volumes ещё есть замечательная особеность. Возможность чистится через docker volume prune, когда они в детаче. Иногда полезно бывает, хотя иногда можно неосторожным движением убить всё.

Он просто отваливается из за недостатка прав

Так ты файлы подсовывал свои, не те что контейнер создаёт?

На эластике был просто маунт что-то вроде такого ```/state-dir/elastic:/usr/share/elasticsearch/data

ну папка на хосте пустая была? и еластик не поднялся?

Официальный контейнер?

да, его. да собвственно не в образе дело

Ну они всё правильно делают. Там User заменяется на elastic, кажется. А прямого маппинга нет. В этом весь и цимес.

Маппинга юзера с хостмашины и в контейнере. Теоретически так и с рутом можно попасть если запускать докер демон с ремаппингом рута контейнера, чтобы рут хоста и контейнера отличались. Ну это так, с позиции диванного теоретика говорю :)