Это везде так

не везде, там где я пару раз хуев напхал и запустил клавой - все делалось

Должен быть измеримый профит

крио + ранс

чтобы с докера съехать что-нибудь нежно? (кроме как kubelet с другими флагами запускать)

крио и ранс

https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/09-bootstrapping-kubernetes-workers.md

Но скриптс, но мени гугл клауд

да выкини гугл специфику

ну у меня баре метал и авс

ща в авс

Я к тому что мне пришлось домысливать что он там суёт в переменные которые прилетают в результате выполнения команд в облаке

Для новичка будет тяжко

ну если работал с тем же авс - то оно почти прозрачно понятно

Я вот не работал :)

счастливый человек

Ну так в чем профит крио?

Я бы может и попробовал

ну прямого никакого, ктоме того, что у тебя на хосте н ебудет докера

ибо им сейчас от докера нужен только рантайм

который давно уже runc

https://github.com/kubernetes-incubator/cri-containerd

вот такая шняга еще в инкубаторе

Я от рассказа авито про кубер услышал что нужен swap. Есть у кого ссылки на обсуждение этого?

ну если хош оттянуть прихоть oom то да

у сгруппы есть такой ключ cgroup.memory.limit_in_bytes

cgroup.memory.limit_in_bytes = 256M

и когда твой контейнер дойдет до 256 метров то его начнет ядро свапить

cgroup.memory.memsw.limit_in_bytes а есть такой - это с учетом свапа

если cgroup.memory.memsw.limit_in_bytes и cgroup.memory.limit_in_bytes равны - то свапиться не будет и придет оом

я не смотрел в код, как там в кубере с лимитированием памяти дела остоят

ну там говорили в контексте что куб

ер криво работает с памятью типа

куб не работает, он дергает ручку ядра

хотя я слушал в автобусе и докладчик был тих

и скорее всего только cgroup.memory.limit_in_bytes

и тут желателен свап что бы не пришел оом и не ебнул процесс

ну дат ьему возможность потечь немного

и тут желателен свап что бы не пришел оом и не ебнул процесс

кончился свап, дальше что?

оом

так может сразу лучше оом?

кому как

мне лучше сразу

кому-то лучше что бы процесс вышел немного за рамки и засфопился

ну допустим планка в 250 метров

а он съел 270

но я за оом

ибо если сука какая-то начнет течь, она всю ноду раком поставит

хотите гиги?

были у нас делы большие, там 256 512 и тер памяти

плюс корзина большая

ну молодому арзаровцу говорили что свап делаем 2 размера от озу ну или полтора, если ее много

так этот гений взял полтора от 512 гигов

сервер умерал долго

:))) ну в книжке же написано!

угу

так этот гений взял полтора от 512 гигов

?

там 60 рейд на 100 теров

так что грубо говоря тера диска не жалко

а еще этот хуй вьйбал на друго месте все диски в один массив

а там были 1,8 тера 10К шутк 30 и 3 диска по 750 грубо говоря 15к

ну те три диски должны были идти в отдельный рейд под систему

а остальные в массив

так он их вьебал в массив

и не мог понять какого хуя место с расчетным не сходится

3 дня думал

ERROR: S client not available

чуть не уволился

что так мало то

оу, у нас есть моддеры\админы :)

блин гифку засейвить не успел

бля, я только расчехлил

pod? )

блин гифку засейвить не успел

Ушла в приват :)

Ушла в приват :)

?

>kubectl config set-cluster.. —certificate-authority-data={$CAD} Error: unknown flag: —certificate-authority-data почему он просит, чтобы я указывал путь до сертификата, а не сразу его base64 формат? почему я тогда могу потом зайти и вручную отредактировать поля и всё будет работать?

сам спросил сам ответил: потому что есть флаг —embed-certs=true, который делает то что я хочу

"kubectl get pods Please enter Username:" почему он просит логин/пароль, когда я ему сертификаты засунул в конфиг? в прошлый раз, когда точно также ставил кубер (через kubespray) всё было ок..

rbuc

c 1.6 версии они там с rbuc деплоят

в плейбуках можно найти дефолтные логин и пароль

@alisabents

точно помню, что там дефолт был changeme

)

docs/vars.md в самом низу

спосибки c:

да нет за что

вроде чат для этого и нужен)

https://kubernetes.io/docs/admin/authentication/ если еще раз перечитаю вот эти доки про юзеров в k8s, то я пойму как мне выпилить авторизацию по username/password и перекатиться обратно на сертификаты, как раньше?

или как вообще правильнее? для того, чтобы встраивать конфиг в CI/CD, то нужен особый токен с особо настроенными правами только на обновление определенных конфигов или как??

в апи сервере убрать использование авторизации

https://kubernetes.io/docs/admin/authentication/ если еще раз перечитаю вот эти доки про юзеров в k8s, то я пойму как мне выпилить авторизацию по username/password и перекатиться обратно на сертификаты, как раньше?

Убрать base_auth авторизацию в kubespray легко. А для авторизации по сертификату достаточно сгенерить этот сертификат с помощью CA мастера

Только вот отозвать сертификат нельзя будет

Только полной перегенерацией всех ключей

да и решать вопрос отзыва сертификатов я пока не видел в родмапах

Открытые таски на эту тему есть, а вот решения нет

ну так я про это же