@kubernetes_ru

Страница 26 из 958
 
Maxim
27.08.2016
15:59:13
кьюблет дальше сам

 
Denis
27.08.2016
15:59:20
тоже верно) я просто по гисту твоему идут по порядку))

 
Maxim
27.08.2016
15:59:54
в гисте файлы по-алфавиту разложены

 
я ничего не могу с этим сделать

Google
 
Maxim
27.08.2016
16:00:22
только если переназывать их начиная с цыфирьки

 
Alexander
27.08.2016
16:00:54
парни, k8s выглядит интересной штукой, но , похоже, есть довольно значительные затраты на внедрение.. они окупаются в итоге?..

 
со стороны кажется, что как-то слишком сложно всё, результат того стоит?

 
Maxim
27.08.2016
16:02:14
у меня окупаются

 
Denis
27.08.2016
16:03:46
Как говорят на Руси - Kubernetes долго запрягает, да быстро едет

 
etcd манифест на каждом сервере right?

 
Maxim
27.08.2016
16:18:12
нененене

 
Denis
27.08.2016
16:18:20
только мастер?

 
Maxim
27.08.2016
16:18:36
в текущей конфигурации - да

 
Denis
27.08.2016
16:18:54
вроде как оно должно быть в кворуме?

 
типа 2 или 3 сервера

 
Maxim
27.08.2016
16:19:29
ну пока что оно в кворуме промеж себя ;)

 
погоди с этим

Google
 
Maxim
27.08.2016
16:19:40
сначала АА

 
потом все эти кворумы

 
Denis
27.08.2016
16:19:57
а всё

 
apiserver смотрит в etcd

 
Maxim
27.08.2016
16:20:12
поехало?

 
Denis
27.08.2016
16:20:47
а кублет как с другими соединяется?

 
ща заливать буду

 
Maxim
27.08.2016
16:21:11
никто напрямую друг с другом не соединяется

 
все ходят к апи

 
апи всем раздает на орехи

 
Denis
27.08.2016
16:21:31
))

 
соответственно на мастере кублет запускает apiserver

 
и все кублеты этот apiserver подхватывают

 
Maxim
27.08.2016
16:22:15
ага

 
Denis
27.08.2016
16:22:22
got it! yea

 
Maxim
27.08.2016
16:22:50
ну они после старта в бесконечном цикле начинают долбиться в --api-servers

 
как в том анекдоте про пентагон и китайцев

 
пока не ответит

 
Denis
27.08.2016
16:23:37
китайцы вообще опасные, но сейчас как говорится - с Богом!

 
обновляю

Google
 
Maxim
27.08.2016
16:25:09
я пока отойду по семейным делам

 
не скучайте ;)

 
Denis
27.08.2016
16:28:45
)))

 
спасибо, семья тобой может гордиться :) а у меня пока вторая нода обвалилась

 
поразбираюсь позравликаюсь

 
там проблемы похожи для @coreos_ru

 
отправил все три ноды в ребут

 
конфиги вроде валидные

 
Maxim
27.08.2016
16:39:11
Ну апи + етцд + kubectl работают?

 
$ kubectl get no Должно мастер-ноду возвращать

 
Denis
27.08.2016
16:42:54
сейчас новый контекст создам для kubectl

 
Ivan
27.08.2016
16:45:56
пока не перегенеришь весь CA
Чойто? Там разве нет проверки на отозванные серты?

 
Maxim
27.08.2016
16:46:32
А как?

 
Ну вот чисто физически как ты это себе представляешь?

 
У аписервера есть только публичная часть CA

 
С ее помощью оно проверяет, что сертификат входящего действительно подписан этим CA

 
От того, что я его отозвал, он не перестает быть подписаным

 
Denis
27.08.2016
16:48:35
Ну т.е. типа black-list

 
Ivan
27.08.2016
16:48:48
С ее помощью оно проверяет, что сертификат входящего действительно подписан этим CA
Дык а как ты думаешь браузеры работают?

 
Как там отзываются сертификаты

Google
 
Maxim
27.08.2016
16:49:02
Ну расскажи мне

 
Ivan
27.08.2016
16:49:14
Он ходит в СА и проверяет, отозван ли

 
OCSP все дела

 
Maxim
27.08.2016
16:50:04
Наверное я тут чего-то не знаю

 
А теперь в мане к аписерверу покажи мне это

 
;)

 
Ivan
27.08.2016
16:50:35
Хотя вот. https://github.com/coreos/etcd/issues/4034

 
Denis
27.08.2016
16:53:35
:)

 
todo world

 
Maxim
27.08.2016
16:53:43
Сертификаты-то самоподписанные

Admin
ERROR: S client not available

 
Maxim
27.08.2016
16:54:02
Весь "удостоверяющий центр" находится на моем лаптопе

 
Только тут я могу сертификаты выпускать, подписывать и отзывать

 
А кубернетес может только проверить, действительно ли я этот сертификат подписывал и не истек ли он

 
Ivan
27.08.2016
16:57:28
Весь "удостоверяющий центр" находится на моем лаптопе
Это уже детали.

 
Можно же хоть let's encrypt прикрутить

 
Denis
27.08.2016
16:58:57
пока упоролся с CoreOS юнитом)

 
надо было ему полный путь до mkdir

 
Maxim
27.08.2016
16:59:36
Можно же хоть let's encrypt прикрутить
А юзерам сертификаты как выпускать через него?

 
Которые не имеют ни айпи, ни доменов

Google
 
Ivan
27.08.2016
17:00:08
Наверняка что-то можно придумать

 
Было бы желание. Доменов третьего уровня нагенерить можно много.

 
Denis
27.08.2016
17:00:56
Вопрос - надо ли?)

 
Ivan
27.08.2016
17:01:08
Это другой вопрос) мы о технической части.

 
Но я согласен, что с токенами удобнее будет.

 
Denis
27.08.2016
17:04:51
$ /opt/bin/kubelet /opt/bin/kubelet: line 1: syntax error near unexpected token `<' /opt/bin/kubelet: line 1: `<?xml version='1.0' encoding='UTF-8'?><Error><Code>NoSuchKey</Code><Message>The specified key does not exist.</Message></Error>'

 
приехали))

 
Maxim
27.08.2016
17:05:25
Какая-то хуйня там вместо симлинка ;)

 
Denis
27.08.2016
17:06:05
)) именно

 
Maxim
27.08.2016
17:06:42
А чмод +х сделал на скаченный кьюблет?

 
Denis
27.08.2016
17:07:35
а ну всё понятно

 
я в версии забыл v указать

 
он отсюда пытался забрать https://storage.googleapis.com/kubernetes-release/release/1.3.6/bin/linux/amd64/kubelet

 
Maxim
27.08.2016
17:07:56
Ггг

 
Бывает

 
Denis
27.08.2016
17:18:25
в sudo journalctl -u kube-kubelet -f ругается: Aug 27 17:16:17 loadbal1 kubelet[4453]: I0827 17:16:17.247263 4453 operation_executor.go:843] UnmountVolume.TearDown succeeded for volume "kubernetes.io/secret/644a6f32-5fd2-11e6-a399-44a842348b74-default-token-yxrvo" (OuterVolumeSpecName: "default-token-yxrvo") pod "644a6f32-5fd2-11e6-a399-44a842348b74" (UID: "644a6f32-5fd2-11e6-a399-44a842348b74"). InnerVolumeSpecName "default-token-yxrvo". PluginName "kubernetes.io/secret", VolumeGidValue ""

 
Maxim
27.08.2016
17:20:22
Это нормально

 
Контроллер-манагера еще нет

 
Он придет и повыпускает эти секреты

 
Denis
27.08.2016
17:22:50
а

 
я уже запаниковал

 
на миньонах должен быть только манифест для прокси, правильно?

 
Maxim
27.08.2016
17:23:49
Да

Страница 26 из 958