Это в прошлом!

Прям клеймо какое-то...

@cyberdarkk Всё самое интересное про Даркнет и кибербезопасность, подписывайтесь)

(захожу на все эти каналы и нажимаю кнопочку report)

О, тоже так сделал.

+

почему helm постоянно скачивает tgz? ?

Интересно, почему я не могу отрепортить канал этого милого человека?

Надо войти в канал.

Нажать join

нахрен join? там info есть

И где репорт в инфо?

Казалось бы - при чем тут линукс

сорри - кубер

в смысле? это боты, они ходят по всем более-менее популярным каналам.

Всем привет! Столкнулся с такой проблемой - поднимаю сервис, прописываю в нём порты: type: NodePort ports: - name: http protocol: TCP port: 80 targetPort: 7180 - name: https protocol: TCP port: 443 targetPort: 7143 а когда он запускается, по факту пробрасывается это: 80:30743/TCP,443:2153/TCP подскажите, с чем это может быть связано и куда копать? перечитал пару раз мануал по сервисам кубернета - даже намёка не нашёл. т.е. по факту кубернет игнорирует прописанные в конфиге порты и присваивает случайные. самое интересное, что даже по этим случайным портам до контейнера достучаться невозможно((

If you want a specific port number, you can specify a value in the nodePort field, and the system will allocate you that port or else the API transaction will fail (i.e. you need to take care about possible port collisions yourself). The value you specify must be in the configured range for node ports.

kind: Service apiVersion: v1 metadata: name: my-service spec: selector: app: MyApp ports: - protocol: TCP port: 80 targetPort: 9376 nodePort: 30061 # ^^^ вот этого я так понимаю не хватает

kind: Service apiVersion: v1 metadata: name: my-service spec: selector: app: MyApp ports: - protocol: TCP port: 80 targetPort: 9376 nodePort: 30061 # ^^^ вот этого я так понимаю не хватает

странно. по мануалу и таргет-порт и ноде-порт указываются только для лодбалансера https://kubernetes.io/docs/concepts/services-networking/service/

ну попробую, вдруг прокатит... с мануалами у них не особо...

А ты его читай правильно)

TargetPort это порт Контейнера

NodePort это порт на ноде, который будет кидаться на targetPort

А Port это порт сервиса используемый в "Виртуальном IP" сервиса

Который то же кидается на TargetPort

В случае если NodePort не указан, кубер берёт рандомный из диапазона установленного ключём —nodeports на старте аписервера

ну попробую, вдруг прокатит... с мануалами у них не особо...

Мануалы написаны как справочник для знающих кубер)

странно. по мануалу и таргет-порт и ноде-порт указываются только для лодбалансера https://kubernetes.io/docs/concepts/services-networking/service/

я ровно с этой страницы цитату выцепил

я ровно с этой страницы цитату выцепил

Ну и да читать там нужно каждую букву, концетрация знания там максимальная. (Это на корпоративные мунуалы, где можно по диагонали читать)

А есть ещё одна проблема документации

часть написано для Кубера в GCE часть дл ястенд элоне. часть для поднятого миникубом часть из сырцов

kind: Service apiVersion: v1 metadata: name: my-service spec: selector: app: MyApp ports: - protocol: TCP port: 80 targetPort: 9376 nodePort: 30061 # ^^^ вот этого я так понимаю не хватает

ага, порты вроде нарисовались правильно! спасибо!

и ещё один вопрос у меня есть)) а как понять, почему контейнер не поднимается? он висит в статусе Pending и при этом "kubectl describe po" и "kubectl describe deploy" гооврят, что таких нет, хотя реально они есть))

-n intranet добавь

неймспейс для kubelet нужно указать

добавь —namespace intranet

и я вижу у вас kube-dns не подымается. наверняка до apiserver добраться не может

а ,блин, точно)) забыл)) спасибо!

да, он не поднимается))

ну дык там будет написано чего ему не хватает) Возможно

официальный мануап косячный. там через реплика-контроллер делается, а надо конфиги на даймон-сет переписать, иначе все три экземпляра пытаются подняться на одной ноде

дальше только лесть в кубелтеа на ноде, к которой он прицеплён

официальный мануап косячный. там через реплика-контроллер делается, а надо конфиги на даймон-сет переписать, иначе все три экземпляра пытаются подняться на одной ноде

Кто сказал что косячный?/ Есть ещё affinity

ну я не знаю, зачем они через реплика-контроллер написали https://coreos.com/kubernetes/docs/latest/deploy-addons.html они же доджны по одному на ноду работать а не все на одной ноде

кто они?)

кто они?)

кто мануал этот писал)) в общем, как руки дойдут - перепишу на даймон-сет

1. в DNS 3 контейнера но под ОДИН!

Они все сцепляются в одну сущность. один из контейнеров вообще sidecar для сбора статитски

если это один под - это одна сущность и ранится на однмо хосте

второй это контроллер DNS, который лазит в апи сервер и подготавливает файлик hosts. Третий это не посредственно ДНС, который читает файлик hosts и резолвит

кто мануал этот писал)) в общем, как руки дойдут - перепишу на даймон-сет

так что проблема не в писателе, а в читателе

а маштабируется уже за счет репликации подов на разых хостах

и то с нюансами

если вы раните под на хостах с определенным лейбом, а хостов таких 2, а реплик надо 3 - ну вы поняли

так что проблема не в писателе, а в читателе

да, видимо я не досмотрел и сделал поспешные выводы))

здравствуйте, я с глупым вопросом. поднял последний k8s по ману: https://kubernetes.io/docs/setup/independent/create-cluster-kubeadm/ ; использовал calico как сеть попытался поставить nginx-ingress-controller вот так: kubectl apply -f https://rawgit.com/kubernetes/ingress/master/examples/deployment/nginx/kubeadm/nginx-ingress-controller.yaml но получаю nginx-ingress-controller-799cd4fcd7-g6b6c 0/1 CrashLoopBackOff в списке get pods логи говорят следующее: # kubectl logs nginx-ingress-controller-799cd4fcd7-g6b6c -n kube-system I1002 11:08:24.985933 7 launch.go:112] &{NGINX 0.9.0-beta.13 git-949b83e https://github.com/kubernetes/ingress} F1002 11:08:24.999813 7 launch.go:130] ✖️ It seems the cluster it is running with Authorization enabled (like RBAC) and there is no permissions for the ingress controller. Please check the configuration подскажите, пожалуйста, куда копать?

https://github.com/projectcalico/calico/blob/master/v2.3/getting-started/kubernetes/installation/hosted/index.md RBAC If using Calico with RBAC, apply the ClusterRole and ClusterRoleBinding specs: kubectl apply -f {{site.url}}/{{page.version}}/getting-started/kubernetes/installation/rbac.yaml

https://github.com/projectcalico/calico/blob/master/v2.3/getting-started/kubernetes/installation/hosted/index.md RBAC If using Calico with RBAC, apply the ClusterRole and ClusterRoleBinding specs: kubectl apply -f {{site.url}}/{{page.version}}/getting-started/kubernetes/installation/rbac.yaml

спасибо!

https://github.com/projectcalico/calico/blob/master/v2.3/getting-started/kubernetes/installation/hosted/index.md RBAC If using Calico with RBAC, apply the ClusterRole and ClusterRoleBinding specs: kubectl apply -f {{site.url}}/{{page.version}}/getting-started/kubernetes/installation/rbac.yaml

не понял, к сожалнию, что надо сделать

не понял, к сожалнию, что надо сделать

apply the ClusterRole and ClusterRoleBinding specs

Добрый день, не совсем понятно так должно быть или нет Есть кубер в aws, есть сервис с type: LoadBalancer. И в лоадбалансер он добавляет все ноды из кластера а не те на котрых запущены поды

для этгов сервисе есть externalTrafficPolicy=Local (начиная с 1.7)

для этгов сервисе есть externalTrafficPolicy=Local (начиная с 1.7)

Спасибо, сейчас попоробую

если сделать ресет, то нормально стартует. Но у меня стоит coreos и он сам автоматически ребутится если есть новые обновление системы

встроенный ребут coreos ничего не знает про ваш куб, им пользоваться опасно т.к. может убить слишком много (скажем что-нибудь что запущено в кубе потеряет кворум)

Спасибо, сейчас попоробую

ноды все равно будут добавляться, но только те, на которых есть поды будут живыми

А что за мода на CoreOS пошла?)

ноды все равно будут добавляться, но только те, на которых есть поды будут живыми

Это как раз то что надо)

apply the ClusterRole and ClusterRoleBinding specs

не помогло, логи пода выводят ту же ошибку. centos 7, selinux off кластер и нода - та же машина. разворачиваю так: kubeadm reset; rm -rf /var/etcd kubeadm —pod-network-cidr=192.168.0.0/16 init kubectl apply -f https://docs.projectcalico.org/v2.6/getting-started/kubernetes/installation/hosted/kubeadm/1.6/calico.yaml kubectl taint nodes —all node-role.kubernetes.io/master- kubectl apply -f https://rawgit.com/kubernetes/ingress/master/examples/deployment/nginx/kubeadm/nginx-ingress-controller.yaml подскажите, пожалуйста, где ошибся. мб в версиях?

не помогло, логи пода выводят ту же ошибку. centos 7, selinux off кластер и нода - та же машина. разворачиваю так: kubeadm reset; rm -rf /var/etcd kubeadm —pod-network-cidr=192.168.0.0/16 init kubectl apply -f https://docs.projectcalico.org/v2.6/getting-started/kubernetes/installation/hosted/kubeadm/1.6/calico.yaml kubectl taint nodes —all node-role.kubernetes.io/master- kubectl apply -f https://rawgit.com/kubernetes/ingress/master/examples/deployment/nginx/kubeadm/nginx-ingress-controller.yaml подскажите, пожалуйста, где ошибся. мб в версиях?

Нет. Твоя ошибка в том, что калико пытается что-то спросить/вписать в аписервер, но из-за RBAC модели авторизации АПИ сервер выбрасывает калико)

не помогло, логи пода выводят ту же ошибку. centos 7, selinux off кластер и нода - та же машина. разворачиваю так: kubeadm reset; rm -rf /var/etcd kubeadm —pod-network-cidr=192.168.0.0/16 init kubectl apply -f https://docs.projectcalico.org/v2.6/getting-started/kubernetes/installation/hosted/kubeadm/1.6/calico.yaml kubectl taint nodes —all node-role.kubernetes.io/master- kubectl apply -f https://rawgit.com/kubernetes/ingress/master/examples/deployment/nginx/kubeadm/nginx-ingress-controller.yaml подскажите, пожалуйста, где ошибся. мб в версиях?

Самое простое это дать пользовтелю, от имени которого работает калико группу system:masters

а уде потом по документации вычитаь что нужно калико для работы (какие права) и установить ровно их. (Излишние права в проде это плохой тон и потенциальная дыра)

ух. я уже размечтался, что сейчас с полпинка k8s разверну для тестов. благодарю, постараюсь разобраться

kubectl apply -f {{site.url}}/{{page.version}}/getting-started/kubernetes/installation/rbac.yaml

В этом yamle описаны правила для калико

почитай его, там скорее всего есть имя пользователя...

и ещё как ты логинешь пользователей? ПО токенам?

пока никак. я пытаюсь заставить nginx-ingress работать

я не знаю как работает твоя тулза еплоя

не..

все что касается аписервера является пользователем

в том числе и внутренние (kubelet controller и т.п.)

Все пользователя получают данные от АПИ сервера в три этапа

1. Аутентификация (Определения логина и группы)

2. Авторизация (Определения Ролевой модели (над какими объектами, и что может данный пользователь (группа)

3. "Модульный контроль" (А эта фича вообще доступна/Включена)

Так получает доступ к данным АПИсервера все, без исключения

Я бы выключил rbac авторизацю пока что

у апи сервера есть ключик —authirization=rbac удали его

*И тут Остапа Понесло

эта трехэтапная модель - модель RBAC?

RBAC этолько второй этап

для этгов сервисе есть externalTrafficPolicy=Local (начиная с 1.7)

Добаялет все ноды но при этом пишет OutOfService там где нету подов. Но так тоже подходит