https://github.com/smpio/kubernator

Что нового?

Или так, просто up

Проблема с работой flannel после включения RBAC решилась перезагрузкой нод. Непонятно почему перезапуск процесса не помогал.

Проблема с работой flannel после включения RBAC решилась перезагрузкой нод. Непонятно почему перезапуск процесса не помогал.

Скорее всего ядру требовалось перестроить таблицу маршрутизации

её можно было и в ручную переделать

Хотя обычно такое на лету меняется

А кто-нибудь сталкивался, что на свежеподнятом кластере в GCE такое: persistentvolumeclaims is forbidden: User "system:serviceaccount:kube-system:default" cannot list persistentvolumeclaims in the namespace "default": Unknown user "system:serviceaccount:kube-system:default" ?

я думаю появление такого типа утилиты было вопросом времени

Я не против, но это как бы стандартная тема редхата, вливать деньги в ОпенСурс, и потом продавать его саппорт.

Они уже Развивают Project Atomic, и всё сильнее и сильнее расширяют его влияние в области Docker/k8s

Я думал атомик больше для опеншифт

https://github.com/smpio/kubernator

https://github.com/smpio/kubernator

ээммм?? ещё раз? Каждого входящего будем оповещать?

Я думал атомик больше для опеншифт

Ну они его позиционируют, как спец сборка Linux (Fedora/Rhel/CenOS) под докер

Аля ESXi для VMware Hypervisor

Ну да, типа coreos для интерпрайза

Короче пробираюсь сквозь helm, с минимальным количеством инфы разобрался с тем, как хочу исползовать зависимости. Теперь пытаюьс деплоить чарт из stable, ругается на release name

Error from server (Invalid): error when creating "STDIN": ConfigMap "RELEASE-NAME-influxdb" is invalid: metadata.name: Invalid value: "RELEASE-NAME-influxdb": a DNS-1123 subdomain must consist of lower case alphanumeric characters, '-' or '.', and must start and end with an alphanumeric character (e.g. 'example.com', regex used for validation is '[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*')

"Памагите"

Я использую requirements.yaml + helm dependency build

Похоже что release-name свалился в дефолтный и теперь не проходит валидацию на "доменность"... Но вот вопрос, где он задается? В доках вообще ничего нет, кроме --name при helm install

Короче из-за пайпинга оно не назначало имя релиза. Нужно было задать явно при генерации шаблона... чере з`-n`

/spam

А кто-нибудь сталкивался, что на свежеподнятом кластере в GCE такое: persistentvolumeclaims is forbidden: User "system:serviceaccount:kube-system:default" cannot list persistentvolumeclaims in the namespace "default": Unknown user "system:serviceaccount:kube-system:default" ?

Я думаю это включен rbac и надо добавить role binding

но это, конечно, не точно

новый, очищенный биткоин, который поведет нас к искуплению за грехи отцов наших и их отцов

это спамбот

я его уже в двух или трех чатах видел

это спамбот

и пророк

Биткоин всерешающий, и спамбот, пророк его... Сцуко, что ж никто работать то не хочет

я хочу

27я декабря работать? вы в какой стране живёте?)

27я декабря работать? вы в какой стране живёте?)

а так же до и во время

-)

Всем ку, очередной тупой вопрос, можно ли чтобы деплой в зависимости от ноды на которой работает, использовал разные переменные окружения?

Вот в этом и запар) Меня интересует наиболее поддерживаемый сообществом вариант, похоже что. это helm

Хелм говно, огребете.' helm template | kubectl apply -f - —prune ...' Ваш друг

я думал вся тема в том чтобы не цепляться за ноды =)

Всем ку, очередной тупой вопрос, можно ли чтобы деплой в зависимости от ноды на которой работает, использовал разные переменные окружения?

можно разделить на части приложения, аффинити использовать для цепляния за ноды нужных деплойментов

до хелма вообще юзал ансибл с темплейтами и kubectl

так и живет

я бы все таки советовал выкинуть ойти стыд в виде bash templating'га, взять хелм, делать downstream нужных чартов и синкать его через CI

envsubst не стыдно

Всем ку, очередной тупой вопрос, можно ли чтобы деплой в зависимости от ноды на которой работает, использовал разные переменные окружения?

Это плохо такого желать

кто нить для сборки имейджей использует не dockerd?

Я пытался зопатчить buildah, что б без privileged, напоролся что все равно нужен CAP_SYS_ADMIN для монтирования /proc. В итоге прописал DOCKER_HOST, ходят к докерузапущенному в отдельных подах по сети. Там буду авторизацию прокручивать , чтобы только docker build работал

блин, ему дофига cap нужно? наверное в circleci не взлетит такое =(

с CAP_SYS_ADMIN работает

Я хотел без него :))

можно разделить на части приложения, аффинити использовать для цепляния за ноды нужных деплойментов

Ну так сейчас и есть 3 разных деплоя привязаные к к разным нодам, а раница то в трех переменных

зачем это вообще?

Ну там дикий комбаин, для реплики бд используется stolon, для доступа к бд stolon-proxy который перенаправляет все запросы на текущий мастер

получается есть ip 10.0.3.1 - 10.0.3.3 - все ссылаются на одну бд

но желателььно на каждой ноде использовать только "своё" подключение

чтобы не было привязки к единому ip и не велосипедить дополнительные keepalived

Это часом через сервис не решается?

Бд не хочется загоднять без долгих тестов в кубер, она отдельно

ее и не обязательно загонять

Services without selectors Services generally abstract access to Kubernetes Pods, but they can also abstract other kinds of backends. For example: You want to have an external database cluster in production, but in test you use your own databases.

значит нужно поковырять в эту сторону, может действительно подойдет

спасибо

Ну там дикий комбаин, для реплики бд используется stolon, для доступа к бд stolon-proxy который перенаправляет все запросы на текущий мастер

Запускайте stolon proxy в одном поде с приложением и ходите на него из приложения по 127.0.0.1

ERROR: S client not available

всем привет. подскажите, почему nginx не может resolve по имени сервиса (my_service), а только по my_service.default.svc.cluster.local. Через docker-compose работает, а через k8s только длинные названия

всем привет. подскажите, почему nginx не может resolve по имени сервиса (my_service), а только по my_service.default.svc.cluster.local. Через docker-compose работает, а через k8s только длинные названия

Nginx у вас запущен в другом namespace

Запустите в одном с приложением и будет работат

он в default тоже запущен. curl работает на короткие имена в контейнере nginx

всем привет. подскажите, почему nginx не может resolve по имени сервиса (my_service), а только по my_service.default.svc.cluster.local. Через docker-compose работает, а через k8s только длинные названия

reolver в nginx.conf правильный указан?

да, я пробовал и kube-dns ip указывать, не помогло

иначе как он my_service.default.svc.cluster.local резолвит

Он должен либо системный резолвер использовать, либо подцеплять search domains из resolv.conf чтобы уметь в короткие имена

Кто-нибудь попробовал ksonnet и не умер?

Он должен либо системный резолвер использовать, либо подцеплять search domains из resolv.conf чтобы уметь в короткие имена

nginx вроде не использует /etc/resolv.conf :(

nginx вроде не использует /etc/resolv.conf :(

нджинкс на старте вполне себе использует системный резолвер

https://serverfault.com/a/638855

и кажется даже не собираются (не собирались) работать с системным https://trac.nginx.org/nginx/ticket/658

и кажется даже не собираются (не собирались) работать с системным https://trac.nginx.org/nginx/ticket/658

по очевидной причине

единственный нормальный выход как я вижу это вынести это в ENV переменные, или использовать 2 конфига. один для dev (где короткие работают), другой с длинными. Ну, или заюзать kube-gen

Зачем вам nginx при разработке?

Зачем вам nginx при разработке?

как proxy для сервисов

вместо ингресс контролера или сервис меш? )

зачем прокси при разработке?

нджинкс на старте вполне себе использует системный резолвер

Вот тут и секрет. У nginx есть куча граблей с dns. Можете поискать про его resolver

зачем прокси при разработке?

сейчас есть image nginx, который связывает frontend с backend. Согласен, что лучше заюзать service mesh, но пока так :)

Так а что им мешает общаться напрямую?

общаться напрямую ничто не мешает, кроме того, если этот нжинкс не в одном поде с фронтендом, то смысла от него тоже никакого нет.

если нода с сервисом вылетит, то другой сервис об этом узнает не сразу, в результате часть запросов не доходит. В итоге к зоопарку добавляется или service mesh или какие-нибудь кастыли. Типа коннектить сервисы между собой через ингресс...

мне вот интересно, как вообще народ живет без сервис меш в проде? в каждое приложение впихиваете hystrix-style логику? всякие curcuit breaker и т.д. ?

мм а просто уменьшить время опроса нод и выводы из сервиса не?

за секунду не может пройти сотня-тысяча rps ?

т.е. уменьшить время опроса (как нод так и подов) - не убирает проблему целиком.