А какой самый просто вариант заставить Jenkins игнорировать свои же коммиты? Сорри за оффтоп

[ci skip]

всё это есть, включая бэкапы

либо вы меня не так поняли, либо врети https://i.imgur.com/Lx4XedE.png

А какой самый просто вариант заставить Jenkins игнорировать свои же коммиты? Сорри за оффтоп

если через гит-хук и у тебя юзер дженкинс

присмотритесь к этому пайплайну, два разных workflow который готовят k8s для aws и baremetal, gitlab не может дожидаться пока стейдж полность не пройдет и запустить другой. впрочем да, это оффтопик

если через гит-хук и у тебя юзер дженкинс

а если declarative pipeline?

А какой самый просто вариант заставить Jenkins игнорировать свои же коммиты? Сорри за оффтоп

только там еще нужно будет врубить force polling using workspace

соря, не подскажу(

ок, спасибо )

но этот варик 100% рабочий

только иногда глючит инклуд\эксклуд

либо вы меня не так поняли, либо врети https://i.imgur.com/Lx4XedE.png

https://docs.gitlab.com/ee/ci/multi_project_pipeline_graphs.html а если хочется бесплатного, то есть https://docs.gitlab.com/ee/ci/triggers/

либо вы меня не так поняли, либо врети https://i.imgur.com/Lx4XedE.png

эт где такое?

вы меня опять не поняли, давайте либо в приват уйдем, либо перестанем оффтопить.

Под1 10.0.0.1/24, под2 10.0.0.2/24, под1 обращается по кластер ИП к под2 10.255.0.1/24, далее происходит днат (кластер ИП заменяется на 10.0.0.2), и когда трафик дошел до под2 он начинает отвечать со своего адреса 10.0.0.2 на адрес 10.0.0.1 и тут днат уже не отрабатывает и трафик через бридж идёт напрямую к контейнеру

трафик пода к "своему" же сервису не днатится, -A KUBE-SEP-VFJAMJXL7RM7FULA -s 10.200.2.44/32 -m comment --comment "default/my-service:" -j KUBE-MARK-MASQ -A KUBE-SEP-VFJAMJXL7RM7FULA -p tcp -m comment --comment "default/my-service:" -m tcp -j DNAT --to-destination 10.200.2.44:80 P.S. на самом деле днатится, но уже после маскарадинга, в под назначения он придет с другим src ip, видимо с ip ноды

глупый вопрос: а зачем к самому себе не через 127.1 обращаться?

вы меня опять не поняли, давайте либо в приват уйдем, либо перестанем оффтопить.

если в приват ушли - добавьте меня пожалуйста :)

время создавать ci_ru или что-нибудь такое

И кстати вопрос по куберу, я могу как-то видоизменять iptables? кубер из за этого ничего там не поломает? У меня контейнер который билдится докером в поде не имеет доступ в инет(

forward policy наверное drop

Угу, и меня интересуют последствия если я его уберу, с iptables у меня не очень хорошо, что оно сделает для кубера я вообще не могу понять... впрочем если критичного ничего не будет - можно попробовать убрать)

кажется это docker приносит с собой

Всмысле докер приносит?

время создавать ci_ru или что-нибудь такое

для мазохистов(и любителей потрындеть) есть devops_ru

для мазохистов(и любителей потрындеть) есть devops_ru

там все молчат как партизаны :(

т.е. вы хотели сказать "на мои вопросы не отвечают"? )))

для мазохистов(и любителей потрындеть) есть devops_ru

спасибо, оттуда давно удалился

ну я этот канал любителям флуда рекламирую. Вы вроде не из их числа. /offtop mode off

т.е. вы хотели сказать "на мои вопросы не отвечают"? )))

не только на мои) но написал, посмотрим что они ответят))

трафик пода к "своему" же сервису не днатится, -A KUBE-SEP-VFJAMJXL7RM7FULA -s 10.200.2.44/32 -m comment --comment "default/my-service:" -j KUBE-MARK-MASQ -A KUBE-SEP-VFJAMJXL7RM7FULA -p tcp -m comment --comment "default/my-service:" -m tcp -j DNAT --to-destination 10.200.2.44:80 P.S. на самом деле днатится, но уже после маскарадинга, в под назначения он придет с другим src ip, видимо с ip ноды

то что ты скинул это правило выполняется если сервис сам к себе обрашается по кластерному адресу, условие -s и потом происходит днат в самого же себя

я так и не нашел правила которое делает маскарадинг

ну вот для теста сделал два пода, testing svc/echoserver-local 10.0.0.175 <none> 80/TCP 2d app=echoserver-local testing svc/memcached 10.0.0.8 <none> 11211/TCP 2d k8s-app=memcached зашел на первый и пингую второй. Все ок. Или я не так вас понял?

они должны быть на одной ноде два пода kubectl get pods -o wide

я так и не нашел правила которое делает маскарадинг

-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000 вот так покидает prerouting цепочку и затем в postrouting-е -A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE

Мож кто может тут Стокнулся с такой проблемой Нужно что бы docker registry аутентифицировал клиентов через token, однако token сервер не умеет работать только по OAuth 2 При получении токена registry пишет, что токен пописан не доверенным сертификатом, при том что сертифкат указан в конфиге регистра

Я уже всё, на что хватило моего больного раассудка, перепробывал

возился с похожим с portus. но там реально оказалось что сертификат не тот

я его уде по буквенно сверял

при том регистр говорит, что не доверенный kid и у этого сертификата тот же kid

мож запуск с другим сертом был

ну в общем я тож маялся и вроде все правильно, но оказалось что серт всетаки не тот

-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000 вот так покидает prerouting цепочку и затем в postrouting-е -A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE

чтоб попасть в эту цепочку сервис должен сам себе отправить пакет на кластерип -A KUBE-SEP-VFJAMJXL7RM7FULA -s 10.200.2.44/32 -m comment —comment "default/my-service:" -j KUBE-MARK-MASQ

то есть это правило нужно для того же чтоб сервис сам к себе мог обращаться по кластерип )

мож запуск с другим сертом был

а как ты ключ в регистр добавлял? есть мнение что я его не правильно кидаю

rootcertbundle я его вот этим ключом добавляю

У меня уже нет доступа к тому регистри

А есть что-то что что бы докер мог начать в инет ходить? Даже если просто руками docker run -it --rm alpine /bin/ash запускаю ничего не пингуется(снаружи).

вы еще не расшарили доступ до своего окружения чатику? :)

намного бы бодрее пошло

они должны быть на одной ноде два пода kubectl get pods -o wide

я помню ваш кейс. Вывод подов с миникубе )

вы еще не расшарили доступ до своего окружения чатику? :)

звиняйте но нет) Да и осталось то немного в принципе) не понимаю почему если стартовать докер руками там сети нет( Делаю docker build в одном из подов и тот образ что создается не может закачать себе все что ему необходимо( Падает по таймауту(

че такое, в devops_ru вас не пнули читать про docker-in-docker ? ))

про dind читал. не работает

я помню ваш кейс. Вывод подов с миникубе )

Кстати никто не заметил что миникуб испортился? С последним релизом те же проблемы

можно просто руками запустить докер на хост машине кубера и там тоже не будет сети

На инсталляции проблема с сертификатами x509

про dind читал. не работает

даю наводку http://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/

даю наводку http://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/

docker run -v /var/run/docker.sock:/var/run/docker.sock \ -ti docker Вот так и пользуюсь

Но блин мне не важно так я это запускаю или нет. у меня нет сети во всех контейнерах которые я запускаю руками. Вот просто docker run -it --rm alpine sh и там ping 8.8.8.8 - не работает

Анатолий, ну что вы, ну проверьте разрешено ли в iptables forward по умолчанию

Загуглите почему так

Если так

Блин дампаните трафик

ERROR: S client not available

Ну что же, почему же не идёт трафик

Всем привет в этом чатике )

посоветуйте, пожалуйста, нормальный мониторинг кубернетса

прометей вполне справляется

отьехали от него в заббикс )

но чувствую придется юзать еще и его

заббикс не рекомендую использовать никогда

7 кругов ада прошли )

так что )

7 кругов ада прошли )

не так страшны первые 7 кругов ада, как вторые 7 кругов ада. В любом случае это рекомендация и это субъективно. За вопрос о заббиксе в @metrics_ru вас забанят сразу и навсегда

еще и посмеются

чисто интересно, у себя прометей юзаете ?

на все кроме кубера

да

был заббикс, ушли к прометею

Парни кто уже сталкивался с подобным, Kube-lego nginx-controller time="2017-12-07T02:57:47Z" level=info msg="ignoring as has no annotation 'kubernetes.io/tls-acme'" context=ingress name=front-end namespace=sock-shop time="2017-12-07T02:57:47Z" level=info msg="process certificate requests for ingresses" context=kubelego time="2017-12-07T02:57:47Z" level=info msg="Attempting to create new secret" context=secret name=sock-shop-tls namespace=sock-shop time="2017-12-07T02:57:47Z" level=info msg="no cert associated with ingress" context="ingress_tls" name=front-end-tls namespace=sock-shop time="2017-12-07T02:57:47Z" level=info msg="requesting certificate for socks.domain" context="ingress_tls" name=front-end-tls namespace=sock-shop time="2017-12-07T02:59:24Z" level=warning msg="authorization failed after 1m0s: reachability test failed: wrong status code '503'" context=acme domain=socks.domain.com

вроде же всё написано? msg="requesting certificate for socks.domain" context="ingress_tls"

Docker Enterprise Edition with support for Kubernetes will be in beta this month and be generally available in February. Those who use Docker for Mac will get access to the first Docker CE edge release with Kubernetes support later this month. Docker for Windows will follow shortly thereafter. https://blog.docker.com/2017/12/kubernetes-in-docker-ee/ баян конечно. но я чет плохо понимаю как это будет выглядеть. тоесть я на маке смогу в докере с kubectl применять свои k8s деплойменты. но в проде нужен docker ee чтобы иметь кластер?

тоесть docker ce на маке заменит minikube по функциональности?

docker inc красавчики кнчно. For admins, they can get a cluster up and running with Kubernetes by simply installing Docker EE with a one-line command. Once the cluster is running, Kubernetes is installed as part of Docker EE and runs independently, free of any dependency on swarm. This includes mutually authenticated TLS for all nodes in the cluster with certificate rotation. интерпрайзный baremetal под себя подминают =)

Так это только замена kubelet’а? Или там можно мастер ноды поднять с etcd?

docker inc красавчики кнчно. For admins, they can get a cluster up and running with Kubernetes by simply installing Docker EE with a one-line command. Once the cluster is running, Kubernetes is installed as part of Docker EE and runs independently, free of any dependency on swarm. This includes mutually authenticated TLS for all nodes in the cluster with certificate rotation. интерпрайзный baremetal под себя подминают =)

Хер им, а не 3 килобакса в год за ноду

Лучше уж openshift эти деньги отдать

Так это только замена kubelet’а? Или там можно мастер ноды поднять с etcd?

тяжело сейчас сказать. прилетит мне обновка на мак, посмотрю =)

по ссылке написано что ноды можно динамически отдавать в swarm или в kubernetes

и что будет маппинг сущностей docker-compose -> kubernetes и можно будет деплоить в к8с кластер из docker-compose

и что будет маппинг сущностей docker-compose -> kubernetes и можно будет деплоить в к8с кластер из docker-compose

Они swarm сливают значит?

кому нужен сварм если есть кубер?

написано что все фичи и на swarm налепили тоже, например Secure Multi-Tenancy With flexible and granular role-based access controls (RBAC) down to the API-level, admins can integrate AD/LDAP once and support different teams bringing different apps (Windows, Linux, or mainframe) of different app types (microservices, ISV, or traditional), leveraging different orchestrators (Swarm or Kubernetes) all in to the same Docker EE environment with secure isolation between them. That allows development teams to bring their own tools and processes into the same environment. For users deploying applications to the Docker EE cluster, they get the choice of API in Kubernetes or Swarm, across a common set of nodes and using a common set of container images secured by the Trusted Registry.

кому нужен сварм если есть кубер?

ну типа того, к8с пиарится и продается, нужно быть в тренде и продавать его тоже. это ж круто