Спасибо ! =)

да нет за что

кстати, будет опыт с нетворк полиси - отпишите плиз

Есть позитивный опыт более полугода эксплуатации. Правда контроллер самописный:)

T.me/newschool_vision

кубспрей с фланелем, а тот с type: host-gw

вот кстати, с host-gw получается работает маршрутизация, накладных расходов минимум. nginx-ingress в daemonset + hostNetwork на железе. по сравнению с конфигурацией без к8с не вижу заужения, разве что с фланел еще под нагрузкой не видел. что тут может вызвать проблемы производительности?

всем привет, кто нибудь заморачивался с авторизацией x509 из подов на внешних серверах(например mongodb Enterprise with x509 auth) ?

а в чём собствнно вопрос?

А если у меня есть одна удаленная нода-миньон в другом офисе. Можно как то сделать чтобы контейнеры на ней получили реальные адреса?

Как на докере это сделать я представляю Но вот на кубе или шифте не особо

HostNet: True

Гонять трафик по оверлею долго

делаешь на той ноде лебл. на под вешаешь NodeSelector + HostNetwork: true

и в перёд

А ДНС?

Как сервис регистрировать ?

Консул?

в кубе-днс они буду зарегестрированы

Спасибо Попробую

а в чём собствнно вопрос?

автоматический rotate сертификатов и синхронизация CRL ..

ну с монго дб не возился

у меня опыт только с crt auth на базе nginx

ca живёт в секрете и маунтиться в под...при пересоздании пода всё ок...

и смене сервера

интересна именно динамика, ротация сертификатов для сервиса в поде скажем каждые 2недели, pki это делать умеет, но со стороны клиента нужна автоматизация, что то вроде lets encrypt но self-signed

Добрый день, не совсем понятно так должно быть или нет Есть кубер в aws, есть сервис с type: LoadBalancer. И в лоадбалансер он добавляет все ноды из кластера а не те на котрых запущены поды

Мне кажется это не совсем правильно

Насколько понимаю, даже LoadBalancer подразумевает под собой обычную сущность сервиса с попаданием на конечный под через iptables. Пытаться локализовать поды в сложном приложении в долгосрочной перспективе практически невозможная задача, трафик все равно будет постоянно бегать между нодами, если только жестко не привязать все поды к нодам, и один дополнительный хоп здесь вряд ли даст критическую задержку. А вообще конечно клево было бы.

Было бы круто, если будет к примеру 100 интсансов с 20 проэктами и все ноды будут друг на друга прокисровать то сеть выдержит или нет?

друг на друга они проксировать не будут

только от входа до endpoint

Модераторы?

Ктото использует https://rook.github.io/? пробую прикоутить его и есть несколько проблемных точек

а также есть ли возможность дебага Persistent Volume Claims, а то лежить в Pending и не пойму почему не хочет билдится с Storage Classe

Ктото использует https://rook.github.io/? пробую прикоутить его и есть несколько проблемных точек

дадада, расскажите - я умираю от любопытства

дадада, расскажите - я умираю от любопытства

одна с проблем это не хочет уходить в ребут нода, если есть примаунеч под к персисту Пишет что "INFO: task jbd2/rbd0-8:1212 blocked for more than 120 seconds. и потом видно что под тоже "INFO: task mysqld:1528 blocked for more than 120 seconds" и потом "libceph: mon1 10.3.54.92:6790 socket closed (con state CONNECTING)" повторяет до бесконечности

похоже что лучше спросить в чате сефевиков

если сделать ресет, то нормально стартует. Но у меня стоит coreos и он сам автоматически ребутится если есть новые обновление системы

если сделать ресет, то нормально стартует. Но у меня стоит coreos и он сам автоматически ребутится если есть новые обновление системы

там же вроде есть политика про ребут

да, мне и нужно чтобы они обновлялись, но из-за подвисона, приходится в ручную ребут по всем нодам вызывать через ресет, что не очень

Всем доброго времени суток и хорошего дня.

К сожалению, сразу же с вопросом. Изучаю замечательный сабжевый продукт. У меня есть GCE, на котором я хочу поднять traefik с автоматическим получением Let's Encrypt. Статья нашлась, но она рассчитана на локальный Kubernetes. Я же делаю это в гугловом клауде. На данный момент после просмотра кучи туториалов и всего подобного не могу понять, как заставить Ingress слушать внешний IP адрес, который я создал в GCE. Буду благодарен за помощь.

К сожалению, сразу же с вопросом. Изучаю замечательный сабжевый продукт. У меня есть GCE, на котором я хочу поднять traefik с автоматическим получением Let's Encrypt. Статья нашлась, но она рассчитана на локальный Kubernetes. Я же делаю это в гугловом клауде. На данный момент после просмотра кучи туториалов и всего подобного не могу понять, как заставить Ingress слушать внешний IP адрес, который я создал в GCE. Буду благодарен за помощь.

https://pastebin.com/tLjmCMti

кажется вам достаточно будет service описать для вашего деплоймента traefik с type loadbalacer

кажется вам достаточно будет service описать для вашего деплоймента traefik с type loadbalacer

В таком виде оно работает, да. Но у меня планируется много виртуальных хостов за данным Ingress.

И все это еще должно использовать SSL.

я не понимаю проблемы. все вроде тоже самое, просто больше А записей для ip адреса, нет?

Меня зовут Михаил. Работаю в IT компании в Риге (перекатился из России). Ранее занимался QA/DevOps в Лаборатории Касперского и Netris. В гугле первая же ссылка ведет на группу. #whois

траефик думаю умеет tls sni

Недостаток знаний, конечно, мешает поставить вопрос более подробно.

я не понимаю проблемы. все вроде тоже самое, просто больше А записей для ip адреса, нет?

Окей, а как можно прибить externalIP к Service? loadbalancerIP?

Ну и раз уж на то пошло мне уже банально интересно, почему это добро отказывается работать.

я с gce не работаю, у меня baremetal. вам нужно начать отсюда https://kubernetes.io/docs/concepts/services-networking/service/#type-loadbalancer

К сожалению, сразу же с вопросом. Изучаю замечательный сабжевый продукт. У меня есть GCE, на котором я хочу поднять traefik с автоматическим получением Let's Encrypt. Статья нашлась, но она рассчитана на локальный Kubernetes. Я же делаю это в гугловом клауде. На данный момент после просмотра кучи туториалов и всего подобного не могу понять, как заставить Ingress слушать внешний IP адрес, который я создал в GCE. Буду благодарен за помощь.

@kubernetes_ru

@kubernetes_ru

это он и есть)

это он и есть)

Хорошая у меня трава, да

Вопрос по логированию почти решился, остался последний вопрос Логи приложения пишутся в лог оттуда их будет брать filebeat и отправлять в graylog. Теперь вопрос, я хочу запустить контейнер с filebeat как sidecar . И брать логи с какого то волума, умеет ли kubernetes volumes_from?

Так ка если монтировать на фс то возможно при скейлинге подов 2 приложения filebeat смонтируются в одну папку и будут посылать одно и тоже

я volumes_from искал тоже как то, но обнаружить не удалось

это не докер, логическая единица - не контейнер, а под

поду можно выделить emptyDir, который примонтировать потом всем контейнерам

а emptyDir в рамках ноды при апдейте сохраняется? тоесть для деплоймента пришел апдейт, создался новый репликасет и поды, старый emptyDir из старых подов попадет в новые на том же хосте?

или emptyDir не переживает даже апдейт?

насколько помню, emptyDir живет время жизни пода (но это не точно, нужно доку смотреть)

читаю как раз, похоже что на под завязан и все похерится между апдейтами

но если вы хотите, чтобы он пережил апдейт, вы что-то делаете не так

Он создается с уникальнмы именем, если два пода на одной машине то они вконектятся в один emptyDir?

читаю как раз, похоже что на под завязан и все похерится между апдейтами

скорее всего вам нужен persistent volume

Он создается с уникальнмы именем, если два пода на одной машине то они вконектятся в один emptyDir?

насколько помню, у каждого свой

О, спасибо. Сейчас потестирую

аппу вроде как можно стартовать и с нуля. просто кэш набивать, это трафик =)

кэш не долен быть привязан к инстансу приложения :\

а к чему кэш должен быть привязан?

кэш не долен быть привязан к инстансу приложения :\

раскройте тезис

кэш должен быть отдельным сетевым сервисом, как и БД. про это по-моему даже в 12fa написано, или в какой-то другой недалеколежащей рекомендации

кэш должен быть отдельным сетевым сервисом, как и БД. про это по-моему даже в 12fa написано, или в какой-то другой недалеколежащей рекомендации

вы же понимаете, что кеш это очень широкое понятие?

иначе про инвалидацию можно тупо забыть

я понимаю, что почему-то очень ценно опровергнуть мои слова

это же интернет

у меня в общем как раз кэш - отдельный сервис. их еще и много разных

потому что кеш внезапно должен быть настолько близко, насколько это возможно в условиях задачи. и если он может быть в памяти процесса - то это замечательно.

да просто повторюсь про инвалидацию

так-то и данные можно не в бд хранить, а прямо в файлах рядом, и оно и быстрее будет

а вы кешом не называете ли быструю бд c strong consistency?

я имею в виду хранилище с любой консистентностью

если у вас есть атомарная инвалидация, то чо б данные в этом кеше не хранить, раз он такой замечательный

да боже

где я сказал про атомарную инвалидацию?

иначе про инвалидацию можно тупо забыть

да просто повторюсь про инвалидацию

АТОМАРНУЮ