Вот тут можно посмотреть реализацию. Только нужно по ансиблу полазить. Из опыта этот вариант лучше чем вррп на мастерах

а почему?

а почему?

Потому что при мигании сети keepalived себя бывает очень странно ведет. Например убирает адрес с одного инстанса и никуда больше не добавляет. Плюс для реального переезда адреса нужно некоторое количество времени, а если инстанс не просто выключился, а мигает сеть, много раз, то также возможна ситуация когда реально адреса нет нигде. Если что то случится с балансировщиком установленным на каждой ноде, то будет зааффекчена только работа этой ноды с апи сервером, а не весь кластер.

а почему?

Поставь, узнаешь ;)))

Поставь, узнаешь ;)))

ну поставлю надо будет )

Вот тут можно посмотреть реализацию. Только нужно по ансиблу полазить. Из опыта этот вариант лучше чем вррп на мастерах

ох, спасибо)) а то я нарыл вот такое https://tecadmin.net/ip-failover-setup-using-keepalived-on-centos-redhat/# вроде выглядит интересно

это вариант когда на каждой ноде стоит nginx и баллансит именно обращение с этой ноды на мастеры?

это вариант когда на каждой ноде стоит nginx и баллансит именно обращение с этой ноды на мастеры?

Ага

Ага

слушай, а какую задачу решают эти штуки Calico Flannel Open vSwitch (OVS) Romana Weave а то читаю и не догоняю ?

а еще не понимаю зачем kube-proxy на мастер нодах. Че он проксирует и откуда куда?

слушай, а какую задачу решают эти штуки Calico Flannel Open vSwitch (OVS) Romana Weave а то читаю и не догоняю ?

Сеть организуют для подов. Каждый под получает свой IP и к нему могут достучаться другие если надо.

а еще не понимаю зачем kube-proxy на мастер нодах. Че он проксирует и откуда куда?

У меня не используется на мастерах.

У меня не используется на мастерах.

так а зачем он нужен в принципе?

так а зачем он нужен в принципе?

На нодах добавляет правила в iptables чтобы кластерные ip были доступны (нат делает)

Например ip kube-dns

ох, все равно не понял)) ладно, потом догоню уже

https://kubernetes.io/docs/getting-started-guides/scratch/#apiserver-pod-template

зачем тут описываются yaml подов для аписервера, шедулера и контроллер менеджера?

как можно запустить эти компоненты в кластере (в подах) если у меня еще кластера нет?

На нодах добавляет правила в iptables чтобы кластерные ip были доступны (нат делает)

скажи, собирал ли ты кластер с нуля сам?))

скажи, собирал ли ты кластер с нуля сам?))

Да

как можно запустить эти компоненты в кластере (в подах) если у меня еще кластера нет?

У меня контрол плейн не в подах, тут не помогу.

Да

круто)) а то на этой странице столько текста, что все так страшно выглядит. Но в глубине души я верю что там на 20 минут дела.

Конечно! Сложно только первый десяток раз! ;)

Конечно! Сложно только первый десяток раз! ;)

я буду первый раз собирать ? чет страшновато. Завтра тут будешь?))

Наверное :)

Путь такой: Etcd, network, мастер, нода.

(В моем случае) :)

а что значит network ? че конкретно надо настроить? я думал что flannel этот запускается уже в кластере

Наверняка и так можно. Я сделал его до кластера :)

как можно запустить эти компоненты в кластере (в подах) если у меня еще кластера нет?

kubelet запускает поды, описания для которых лежат в /etc/kubernetes/manifests/ для этого не нужен поднятый кластер

kubelet запускает поды, описания для которых лежат в /etc/kubernetes/manifests/ для этого не нужен поднятый кластер

ааа, я понял. Спасибо ?

«kubernetes hard way» почти тот же «kubernetes from scratch», рекомендую посмотреть

а можно ссылочку?

в гугле забей )))

там много разных вариантов

https://medium.com/@zwischenzugs/learn-kubernetes-the-hard-way-the-easy-and-cheap-way-6f82b665ccd9

https://github.com/kelseyhightower/kubernetes-the-hard-way

только тут cri-containerd вместо докера

но бутстраппинг мастер-компонентов, почти такой же

ок, посмотрю) спасибо.

а что значит network ? че конкретно надо настроить? я думал что flannel этот запускается уже в кластере

он запускается на каждом воркере (именно воркере) и нужен для того, чтобы поды могли общаться друг с другом по сети прозрачно

Уважаемые, подскажите в каком направлении смотреть, тема такая: физическое разделение базы данных. Я так понял это разделение между пользователем, как это работает? не могу найти в интернете.

слушай, а какую задачу решают эти штуки Calico Flannel Open vSwitch (OVS) Romana Weave а то читаю и не догоняю ?

обычно вот такое читают https://habrahabr.ru/post/258443/

Коллеги, где обычно принято держать helm чарты? Вместе с приложением или в отдельной репе?

Кто настраивал доступ для пользователей к дашу с правами только на определенные неймспейсы?

Как это сделать проще? Не заставлять же юзеров каждый раз копировать трехстрочный токен или загружать kubeconfig

Коллеги, где обычно принято держать helm чарты? Вместе с приложением или в отдельной репе?

Хз как принято, но мы пришли к тому что хелмы инфраструктурных сервисов в одной репе. Хелмы приложений в своих репах приложений.

Как это сделать проще? Не заставлять же юзеров каждый раз копировать трехстрочный токен или загружать kubeconfig

У дашборда была авторизация по паролю. А права выдавать через роли

У дашборда была авторизация по паролю. А права выдавать через роли

Она не депрекейтед с приходом rbac?

Ребят, подскажите. Фигня какая-то с gcloud-ом. Не получается смапить никак поддомен на отдельный сервис. Все время редиректит на default-backend. Можно ли где нибудь посмотреть лог событий матчинга?

Ребят, подскажите. Фигня какая-то с gcloud-ом. Не получается смапить никак поддомен на отдельный сервис. Все время редиректит на default-backend. Можно ли где нибудь посмотреть лог событий матчинга?

в логах пода ингресса

в логах пода ингресса

о, интересно.. спасибо а как на него выйти? в get pods только мои не служебные поды в describe ingress вроде на под нет ссылок

он скорее всего в служебном неймспейсе, kube-system например

там его тоже не вижу.. мне кажется в glcoud используется какой-то внешний по отношению к куберу балансер

ясно дело что внешний, но обычно с внешнего балансера направляют трафик на ингресс контролер, а в нем уже можно любой мапинг сделать.

ну вот ingress у меня есть kubectl get ingress даёт мне список я делаю describe нужного ingress там никаких ссылок на pod нет. так и должно быть?

когда ставил minkube там действительно был контейнер с nginx-ом, а здесь что-то его не вижу, ни в каких неймспейсах

смотрите другие сущености, не только ингрес. ing,svc,ds,deploy,po

Ребят, подскажите. Фигня какая-то с gcloud-ом. Не получается смапить никак поддомен на отдельный сервис. Все время редиректит на default-backend. Можно ли где нибудь посмотреть лог событий матчинга?

какой ингрес вы используете?

смотрите другие сущености, не только ингрес. ing,svc,ds,deploy,po

вижу dns-* поды, видимо это и есть сам игресс, то есть набор правил. попробую посмотреть там логи

какой ингрес вы используете?

не понял вопрос.. вот я пытаюсь понять что он из себя представляет) kubectl get ingress my-ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: spec: rules:

я использую google-cloud. У него там какие-то свои сущности поверх kubernetes что меня, как новичка запутывает))

ERROR: S client not available

гугловый ингресс контоллер не доступен напрямую

Если попытаться сузить задачку, в веб-интерфейсе есть пункт сетевые сервисы, там есть балансировщик нагрузки, у него какой-то гугловый ИД. Мне нужно получить доступ к логам вот этого балансировщика нагрузки

вроде в describe ingress-а он должен вывести привязался он к loadbalancer-у или нет

не понял вопрос.. вот я пытаюсь понять что он из себя представляет) kubectl get ingress my-ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: spec: rules:

в gcloud по умолчанию используется gce-ingress, он сейчас в стадии бета. я тоже пробовал начать с него, и получил кучу проблем. в том числе похожую на вашу. все они решились переходом на nginx-ingress

в gcloud по умолчанию используется gce-ingress, он сейчас в стадии бета. я тоже пробовал начать с него, и получил кучу проблем. в том числе похожую на вашу. все они решились переходом на nginx-ingress

ага, плюсую

понял, спасибо, ребят, да вообще в планах есть поставить его

с чего это вдруг по умолчанию? по умолчанию там никакого ингреса нет

с чего это вдруг по умолчанию? по умолчанию там никакого ингреса нет

ингресса нет, а ингресс контроллер есть

ГАйз, контейнеры в сети общаются по айпишникам вида 192.168.217.1 а dns резолвит имена на 10.100.1.1 Как пофиксить?

ингресса нет, а ингресс контроллер есть

не знаю что вы вкладывает в этот термин, но ничего связаного с ингресом в GKE кластере по умолчанию нет. Далее сам что надо то и деплоишь. Возможно, на этапе создания кластера можно кастомно что-то задать, не вдавался в детали.

возможно имеют в виду его тип (контроллера) потому что при создании балансировщика нагрузки через интерфейс он выбирать ничего не предлагает

ингресс контроллер в GKE создается по умолчанию. как раз при создании кластера его можно отключать, если есть желание юзать свой

а как его логи посмотреть кто-нить знает?))

ГАйз, контейнеры в сети общаются по айпишникам вида 192.168.217.1 а dns резолвит имена на 10.100.1.1 Как пофиксить?

Тут нечего фиксить. На хост машине через нат днс пробрасывается на нужный ip

а как его логи посмотреть кто-нить знает?))

судя по всему никак, или смотри describe ingress неработающих правил или смотри статус в «Discovery & load balancing» gke

Packt раздает бесплатно сутки Kubernetes Cookbook. https://www.packtpub.com/packt/offers/free-learning Не знаю насколько хорошая не читал, но мож кому полезной будет

судя по всему никак, или смотри describe ingress неработающих правил или смотри статус в «Discovery & load balancing» gke

хорошо, спасибо, посмотрю

Всем привет. Не сильно разбираюсь в k8s, поставил deis (на своих железных серверах с 1 внешним ip на каждом сервере), когда деплою веб приложение не могу к нему достучаться по 80 порту. deis сам деплоит router я так понимаю там nginx который внутрь должен проксировать запросы. Меня смущает - external-ip - pending: Так и должно быть ? kubectl get svc --namespace=deis | grep LoadBalancer NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE deis-router LoadBalancer 10.110.160.169 <pending> 80:30219/TCP,443:32497/TCP,2222:32246/TCP,9090:30516/TCP 2d При этом по порту 30219 сайт открывается. Куда посмотреть ?

посмотреть провайдит ли deis LoadBalancer для bare metall инсталляции kubernetes или нет

смотрю тут https://github.com/deis/router#front-facing-load-balancer Front-facing load balancer Depending on what distribution of Kubernetes you use and where you host it, installation of the router may automatically include an external (to Kubernetes) load balancer or similar mechanism for routing inbound traffic from beyond the cluster into the cluster to the router(s). For example, kube-aws and Google Container Engine both do this. On some other platforms-- Vagrant or bare metal, for instance-- this must either be accomplished manually or does not apply at all. Получается мне надо поставить что-то типа ingress-nginx перед этим роутером ? Или как лучше ?

или ingress-controller или поставить балансировщик например nginx, который будет апстримить nodeport-ы или еще как-нибудь

спасибо, сейчас почитаю

вообще было бы интересно услышать отзывы корифеев ? , кто как предпочитает заворачивать трафик в k8s bare metall на продакшене

Тут нечего фиксить. На хост машине через нат днс пробрасывается на нужный ip

не совсем понял, как это сделать И это не плохо, что для куба нужно какие-то изменения на хосте делать?

не совсем понял, как это сделать И это не плохо, что для куба нужно какие-то изменения на хосте делать?

За вас это делает kube-proxy, не вы.

ГАйз, контейнеры в сети общаются по айпишникам вида 192.168.217.1 а dns резолвит имена на 10.100.1.1 Как пофиксить?

у нод свои собственные адреса у подов свои собственные подсети у сервисов своя собственная виртуальная сеть непонятно, что ты хочешь пофиксить?

мне нужно чтобы пода каким-то образом видела подсеть сервисов Те пода front-fwe324r234-wrqe могла ходить на сервис app, а не только на поды типа app-fesfwe-fewr

насколько я знаю, если не применены сетевые политики, то внутри кластера все доступно друг другу

ну это конечно зависит от способа инсталяции

в Calico по умолчанию почему-то не ходит