@kubernetes_ru

Страница 220 из 958
 
Let Eat
27.07.2017
13:49:19
навскидку: у вас либо что-то не то с serviceAccount в kube-system namespace, либо automountServiceAccountToken: false прописано

 
Mikhail
27.07.2017
13:49:21
https://gist.github.com/Knyage/246f5f78d8dec863f47972d81c4d2ea2

 
хм

 
Let Eat
27.07.2017
13:50:37
serviceAccountName: kube-dns

Google
 
Let Eat
27.07.2017
13:51:26
гляньте у него есть секрет? й?

 
Mikhail
27.07.2017
13:53:04
Блин, нет, не делал ( С нуля разворачивал, упор был на кластеризацию мастера. До секретов, токенов и сертов еще не добирался

 
Этот пункт указывает от кого запускает поды, првоеряя секретный ключ ?

 
Let Eat
27.07.2017
13:54:35
https://kubernetes.io/docs/admin/service-accounts-admin/

 
и https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/

 
Mikhail
27.07.2017
13:55:12
Спасибо, пошел читать!

 
Александр
27.07.2017
14:16:46
вы свои кластеры кубернетеса в интернеты выставляете или всё запрятано за VPN? я за Kubernetes master-ов спрашиваю

 
Роман
27.07.2017
14:20:21
вы свои кластеры кубернетеса в интернеты выставляете или всё запрятано за VPN? я за Kubernetes master-ов спрашиваю
Я вообще хочу в интернет выставить только ноды с нжинкс-контроллером, а остальное будет доступно только по внутренней сети.

 
Dmitry
27.07.2017
14:21:37
выставляем необходимые порты, все остальное режется на уровне правил клауд провайдера

 
Александр
27.07.2017
14:24:11
выставляем необходимые порты, все остальное режется на уровне правил клауд провайдера
ну т.е. грубо говоря разрешаете 443 до мастеров с интернетов?

 
Dmitry
27.07.2017
14:24:44
80,433 =)

 
и 22 из офиса

 
а не.. 22 открыт)

Google
 
Александр
27.07.2017
14:25:39
ну т.е. не боитесь?

 
Maksim
27.07.2017
14:35:27
ну т.е. не боитесь?
всмысле? На ружу смотри только 80 и 443) Ну и ещё пара необхдимых аппликативу портов, все кишки спрятаны(интранеты всякие).... или как доставлять сервисы до клиента? по vpn ??

 
Александр
27.07.2017
14:38:39
ну придут хацкеры и будут долбить ваш API

 
мониторите как-то неудачные авторизации к API?

 
Pavel
27.07.2017
14:43:22
api внутрях же

 
Fike
27.07.2017
14:44:37
kay rus в свое время постил веселуху про порт, который по умолчанию смотрит в интернет и пускает без авторизации

 
Роман
27.07.2017
14:44:59
А можно как-то указать деплойменту, что создавать больше одной реплики ни в коем случае нельзя? Например, я удалил под, а он мне создал рядышком второй и только потом удалил первый - так нельзя.

 
Александр
27.07.2017
14:45:38
если апи внутрях, то шо ж тогда не внутрях, сервисы через игресс или elb? а как тогда >как доставлять сервисы до клиента? по vpn ??

 
Fike
27.07.2017
14:45:44
А можно как-то указать деплойменту, что создавать больше одной реплики ни в коем случае нельзя? Например, я удалил под, а он мне создал рядышком второй и только потом удалил первый - так нельзя.
maxSurge = 0?

 
Александр
27.07.2017
14:46:18
и ты уже спрашивал тут про это. только юз-кейс у тебя был наоборот)

 
Роман
27.07.2017
14:46:34
maxSurge = 0?
maxUnavailable тоже при этом нулю должен быть равен?

 
Fike
27.07.2017
14:46:58
они не могут быть оба равны нулю

 
либо ты разрешаешь иметь больше подов, чем указано реплик, в один момент времени, либо меньше

 
атомарно заменить один под на другой он не может

 
Роман
27.07.2017
14:47:33
и ты уже спрашивал тут про это. только юз-кейс у тебя был наоборот)
Верно. Просто подумал и решил, что постгресу с волюмом нельзя быть два раза запущеным одновременно.

 
Александр
27.07.2017
14:48:32
а если через claim-ы то он и не запустит два раза, не?

 
Роман
27.07.2017
14:48:37
либо ты разрешаешь иметь больше подов, чем указано реплик, в один момент времени, либо меньше
Больше подов - это когда maxUnavailable = 0, maxSurge = 1, а меньше подов - наоборот. Так получается?

 
Fike
27.07.2017
14:48:50
по доке - да

 
Роман
27.07.2017
14:48:57
а если через claim-ы то он и не запустит два раза, не?
Пока hostPath. Это в процессе.

 
Vitaliy
27.07.2017
15:13:34
А можно как-то указать деплойменту, что создавать больше одной реплики ни в коем случае нельзя? Например, я удалил под, а он мне создал рядышком второй и только потом удалил первый - так нельзя.
spec: strategy: type: Recreate

Google
 
Роман
27.07.2017
15:14:04
spec: strategy: type: Recreate
А как по умолчанию?

 
Vitaliy
27.07.2017
15:14:11
RollingUpdate

 
Роман
27.07.2017
15:17:53
spec: strategy: type: Recreate
Спасибо. То, что нужно.

 
Maksim
27.07.2017
15:37:29
RollingUpdate
У меня Recreate по умолчанию Оо)

 
Sergey
27.07.2017
15:38:05
привет чатик. у вас к k8s в проде на каком хосте крутится, под убунтой, coreos или всякие google engine?

 
Vitaliy
27.07.2017
15:38:15
https://kubernetes.io/docs/concepts/workloads/controllers/deployment/ .spec.strategy specifies the strategy used to replace old Pods by new ones. .spec.strategy.type can be “Recreate” or “RollingUpdate”. “RollingUpdate” is the default value.

 
Maksim
27.07.2017
15:38:17
А можно как-то указать деплойменту, что создавать больше одной реплики ни в коем случае нельзя? Например, я удалил под, а он мне создал рядышком второй и только потом удалил первый - так нельзя.
пишишь maxSurge: 0 и все больше реплик не сделает

 
привет чатик. у вас к k8s в проде на каком хосте крутится, под убунтой, coreos или всякие google engine?
AtomicHost

 
Vitaliy
27.07.2017
15:38:57
привет чатик. у вас к k8s в проде на каком хосте крутится, под убунтой, coreos или всякие google engine?
по моему вообще на всём крутят

 
Александр
27.07.2017
15:38:58
привет чатик. у вас к k8s в проде на каком хосте крутится, под убунтой, coreos или всякие google engine?
AWS/kops/debian

 
Sergey
27.07.2017
15:44:54
а для нетворка и волюмов что юзаете?

 
Александр
27.07.2017
15:49:36
ebs kubenet на тестовых weave на типа какбе прод

 
Sergey
27.07.2017
15:51:49
спасибо)

 
Let Eat
27.07.2017
18:12:33
Верно. Просто подумал и решил, что постгресу с волюмом нельзя быть два раза запущеным одновременно.
если один и тот же вольюм, то онои не запустится, будет ждать пока вольюм освободится от первого

 
Eugene
28.07.2017
07:41:23
У когото получилось initContainers в Openshift Origin 1.5.1 врубить? Deploymennconfig просто игнорит у меня их что то

 
Khramov
28.07.2017
07:52:11
Ребят, а кто как логи хранит от деплойментов, что использует

 
Sergey
28.07.2017
07:59:12
заходим на канал -> Report -> Spam

 
Paul
28.07.2017
08:00:02
сделал гадость - сердцу радость :)

 
Sergey
28.07.2017
08:00:13
почему же гадость? :)

 
Lev
28.07.2017
08:00:26
и какая от этого польза в краткосрочной перспективе? сообщение ведь не исчезнет)

Google
 
Paul
28.07.2017
08:00:27
так нет, я же с удовольствием :)

 
и какая от этого польза в краткосрочной перспективе? сообщение ведь не исчезнет)
а его модератор чуть позже прибьет. а если жалоб будет много - канал закроют

 
Lev
28.07.2017
08:01:23
то есть если я буду рассылать спам с текстом присоединиться к этом чату, то его закроют?

 
Paul
28.07.2017
08:04:23
да, пока владельцы чата не объяснят, что они тут не причем это довольно старая атака

 
Lev
28.07.2017
08:04:59
попахивает магией)

Admin
ERROR: S client not available

 
Paul
28.07.2017
08:06:13
да вовсе нет это очень-очень старый способ. сейчас так удаляют чужие скайп-акки. В телеграме, в случае чего, можно аппелировать к живому модератору а в скайпе блочит робот, и заблоченый акк - это навсегда

 
Роман
28.07.2017
10:56:38
Скажите, могу я один волюм hostPath подключить в два разных пода? Работает такая схема?

 
Vitaliy
28.07.2017
10:56:53
Да

 
kvaps
28.07.2017
11:02:20
всем привет #whois > Какой у вас проект или где работаете? WEDOS Internet a.s. (Хостинг и VPS лоукостер) > В чём вы специалист? Облака и облачные технологии, в часности OpenNebula. А так же: Сети, Автоматизация, Кластерные файловые системы, High Avability, вот это все... > Чем можете быть интересны или полезны сообществу? Мои публикации можно почитать здесь: http://kvaps.ru/ > Чем интересно сообщество вам? Обмен опытом > Откуда вы? Czech Republic

 
Maksim
28.07.2017
11:08:08
что за само реклама?

 
Artem
28.07.2017
11:08:56
#япиарюсь ?

 
Maksim
28.07.2017
11:09:24
Ну просто тут пол чата специалисты в Облаках , вторая половина хочет ими быть)

 
Вернее на пути к оному)

 
Fike
28.07.2017
11:09:44
там прикрепленное сообщение висит, которое призывает всех новоприбывших рассказать о себе

 
kvaps
28.07.2017
11:09:51
Начинаю осваивать Kubernetes, На данный момент имеется большой кластер физических машин, все ноды находятся в одном L2-сегменте сети. Планируется много сервисов каждый со своим статическим IP адрессом. Вопрос по оргинизации сети, есть ли способ сделать это правильнее чем через pipework?

 
Maksim
28.07.2017
11:10:13
а ещё часть пишит эти самые облака на програмном уровне

 
kvaps
28.07.2017
11:10:37
что за само реклама?
не хотите - не надо :-/

 
Maksim
28.07.2017
11:10:50
Не хотите, что?)

 
там прикрепленное сообщение висит, которое призывает всех новоприбывших рассказать о себе
где там? Я что-то упустил где-то?)

Google
 
kvaps
28.07.2017
11:12:13
? В группе есть традиция - представляться при входе: ▫️Какой у вас проект или где работаете? ▫️В чём вы специалист? ▫️Чем можете быть интересны или полезны сообществу? ▫️Чем интересно сообщество вам? ▫️Откуда вы? ▫️Как узнали про группу? В сообщении нужно указать тэг #whois ? Правила чата: ? Публикация вакансий запрещена ? Реклама запрещена ? Политика запрещена ? Флуд и непрофессиональное поведение запрещено За несоблюдение правил - одно предупреждение, далее следует бан. Вакансии и запросы на поиск работы публикуем в группе @devops_jobs. Формат любой: full-time, part-time, remote и разовые подработки. Также обмениваемся инсайдами и аналитикой по рынку труда. Здесь общаемся на темы, посвященные Docker и экосистеме. Задаем вопросы, решаем проблемы и делимся новостями. Параллельно с этой группой развивается: ?@docker_ru - посвященная Docker, Docker Swarm и экосистеме в целом. Задаём вопросы, обсуждаем идеи, решаем проблемы, делимся новостями и т.д. ?@devops_ru - активно общаемся на темы, посвященные DevOps, Docker, Mesos, DC/OS, CoreOS, Clouds и т.д. ? Возможно, вам также будут интересны группы: @nodejs_ru, @react_js, @angular_js, @javascript_jobs, @reactnative_ru, @ios_ru, @android_ru, @mobile_jobs. Приятного общения!
ну я думал тут такое правило...

 
Fike
28.07.2017
11:12:40
все в порядке

 
Maksim
28.07.2017
11:13:05
Хм) я действительно что-то упустил-)

 
kvaps
28.07.2017
11:13:50
ок, вернул назад

 
Maksim
28.07.2017
11:14:08
Ладно к теме)

 
Статический IP на сервис, это через externalIP, но в 1.5 этот методо обявлен устаревшим, и я пока не игрался с 1.7, так что там может вообще его выпилили

 
kvaps
28.07.2017
11:15:29
Начинаю осваивать Kubernetes, На данный момент имеется большой кластер физических машин, все ноды находятся в одном L2-сегменте сети. Планируется много сервисов каждый со своим статическим IP адрессом. Вопрос по оргинизации сети, есть ли способ сделать это правильнее чем через pipework?
Так на счет моего вопроса, нужен easiest way прокинуть интерфейс в контейнер, или просто привязать IP к нему, желательно managed by kubernetes

 
Maksim
28.07.2017
11:15:55
есть три метода

 
1. NodePort 2. ExternalIP (depricated) 3. Ingress

 
kvaps
28.07.2017
11:16:18
да, я видел [kube-keepalived-vip](https://github.com/kubernetes/contrib/tree/master/keepalived-vip)

 
1. NodePort 2. ExternalIP (depricated) 3. Ingress
и ни один мне не подходит 1. NodePort - при перезде контейнера на другую ноду сменится и IP 2. ExternalIP (depricated) - усталрел, а как он работает вообще? 3. Ingress - не подходит, т.к. у меня много ip с одинаковыми сервисами

 
Maksim
28.07.2017
11:18:38
1. Нет не сменится, более того все ноды буду маршрутизироваться на Под

 
2. Ну можно было написать к сервису ExternalIP (это был реальный ip любой ноды) и с него трафик шёл на Под

 
3. ВОт этого не понял

 
1. То есть С любого ip, любой ноды трафик будет маршрутизироваться на Под

 
kvaps
28.07.2017
11:21:57
1. То есть С любого ip, любой ноды трафик будет маршрутизироваться на Под
хм, то есть правильно ли я понимаю, что я могу повесить внешний IP на любой minion, и он будет маршрутизировать трафик на pod, даже если pod запущен на другом minion?

Страница 220 из 958