:) flannel у меня периодический падал6 как и wavenet.. пришлось тестить calico

А задача посылать реквесты с nginx через upstram на сервис типа app:3000 Как это делать через сеть подов-хз, а у сервисов есть нормальные dns имена

А задача посылать реквесты с nginx через upstram на сервис типа app:3000 Как это делать через сеть подов-хз, а у сервисов есть нормальные dns имена

если я правильно понял вы пытаетесь сделать свой ингресс-контроллер

мне нужно чтобы пода каким-то образом видела подсеть сервисов Те пода front-fwe324r234-wrqe могла ходить на сервис app, а не только на поды типа app-fesfwe-fewr

iptables-save, tcpdump, ip route ваши лучшие друзья ? Have a party!!!

:) это да

а зачем нужен ingress если можно просто LoadBalancer и nodePort

Alexey B https://carlosbecker.com/posts/k8s-sandbox-costs/ возможно поэтому

а зачем нужен ingress если можно просто LoadBalancer и nodePort

удобно управлять через kubectl

у меня глупый вопрос: есть kops, helm, вот это всё. я развернул кластер в амазоне, есть сервис с LoadBalancer. А как домен повесить на этот адрес? Ну чтобы не руками в route53, а автоматизированно

Alexey B https://carlosbecker.com/posts/k8s-sandbox-costs/ возможно поэтому

так они там используют AWS Elastic LoadBalancers costs almost $20/mo А можно встроенный лоадбалансер юзать. И там невероне специфика AWS по прайсу за используемое cpu

в итоге прочитал несколько статей и по цене (усилия и ресурсы) и ingress + Nginx Ingress Controller и LoadBalancer + nginx service по-моему примерно одинаковы

так они там используют AWS Elastic LoadBalancers costs almost $20/mo А можно встроенный лоадбалансер юзать. И там невероне специфика AWS по прайсу за используемое cpu

что значит встроенный?

у меня глупый вопрос: есть kops, helm, вот это всё. я развернул кластер в амазоне, есть сервис с LoadBalancer. А как домен повесить на этот адрес? Ну чтобы не руками в route53, а автоматизированно

https://github.com/kubernetes/kops/tree/master/addons/route53-mapper только как по мне это оверинженеринг. Если вы не создаете и удаляете 100500 доменов на день

https://github.com/kubernetes/kops/tree/master/addons/route53-mapper только как по мне это оверинженеринг. Если вы не создаете и удаляете 100500 доменов на день

ага, значит я угадал. спасибо

Есть днс-контроллеры

грёбаный google-cloud там тупо надо было порт куберсервиса прописать в файрволе

и логи я нашёл, но они так и говорят обращение на такой-то поддомен, перенаправляю на дефолтный бекенд))) ппц нахрен такой лог нужен

для логов gcloud logging команда есть оказывается просто жесть какая-то

Видел тут когото из Зелика. Коллеги, присоединяйтесь https://www.meetup.com/ru-RU/Zelenograd-Dev-Meetup/events/246962387/

Организаторы просили обязательно зарегаться на ивенте, если собираетесь

Ребят, в офф доке пишут > For etcd, kube-apiserver, kube-controller-manager, and kube-scheduler, we recommend that you run these as containers, so you need an image to be built. и при этом предлагают мне скачать докер образ hyperkube. Хотя я скачал архив с серверными бинарниками в котором есть каждый бинарник из списка выше + hyperkube. Так как лучше запускать эти службы: через hyperkube или для каждого скачать свой докер образ или вообще голыми бинарниками запускать?

в подах ранить все компоненты кубера очень удобно имхо. кроме кублета, конечно

главное - заюзать все новые фичи кубера, позволяющие приоретизировать системные поды

в подах ранить все компоненты кубера очень удобно имхо. кроме кублета, конечно

это как описано тут https://kubernetes.io/docs/getting-started-guides/scratch/#bootstrapping-the-cluster ?

Типа kubelet, kube-proxy, docker запускаются как дсистемные демоны, а все остальное - создать файлики подов и скорить kubelet ?

В какой папке рекомендуется хранить манифесты для kubelet?

прокся тоже в поде

но они рекомендуют запускать ее вне контейнера… почему?

проще посмотреть на уже существующие средства для автоматического деплоя и в итоге заюзать их, если ,конечно, цель - не страдать)

они - кто?

цель как раз пострадать и запустить кубернетис руками по пунктикам))

они - офф дока кубернетиса. You will run docker, kubelet, and kube-proxy outside of a container, the same way you would run any system daemon, so you just need the bare binaries. For etcd, kube-apiserver, kube-controller-manager, and kube-scheduler, we recommend that you run these as containers, so you need an image to be built. т.е. я не знаю почему, но они пишут что можно или надо запускать kube-proxy вне контейнера, а все остальное в нем

они - офф дока кубернетиса. You will run docker, kubelet, and kube-proxy outside of a container, the same way you would run any system daemon, so you just need the bare binaries. For etcd, kube-apiserver, kube-controller-manager, and kube-scheduler, we recommend that you run these as containers, so you need an image to be built. т.е. я не знаю почему, но они пишут что можно или надо запускать kube-proxy вне контейнера, а все остальное в нем

ну а подумать? куб-прокси рулит хостовым фаерволом через дергание айпитэблс, если ранить в контейнере, то придеться ебаться с привилигированным контейнером и всякими капабилити

ну а подумать? куб-прокси рулит хостовым фаерволом через дергание айпитэблс, если ранить в контейнере, то придеться ебаться с привилигированным контейнером и всякими капабилити

я пока что не понял как работает прокся, ведь запускаю свой первый инстанс кубика ? Так что я пока сам к таким выводам не пришел бы.

а доку прочесть?

Спасибо за пояснение.

https://kubernetes.io/docs/reference/generated/kube-proxy/

тут в первом же абзаце из 3 строчек все ясно

Дока очень большая и до этой ссылки я еще не дошел ? спасибо.

https://github.com/kubernetes/community/blob/master/contributors/design-proposals/architecture/architecture.md

хотя бы понимать какой компонент за что отвечает и что ему надо

иначе - это попытка научиться ездить на машине методом тыка с пару десятков сбитых столбов и задавленных людей

к сожалению пока я так и учусь ? Офф дока с первого раза не дает понимание, приходиться перечитывать и собирать формулировки одного и того же с разных источников. Вот я прочел про кубе прокси. Я понял что он делает, но я не понял зачем он это делает и какую задачу решает. И вот фиг знает какой теории мне не хватает ?

Synopsis The Kubernetes network proxy runs on each node. This reflects services as defined in the Kubernetes API on each node and can do simple TCP and UDP stream forwarding or round robin TCP and UDP forwarding across a set of backends. Service cluster IPs and ports are currently found through Docker-links-compatible environment variables specifying ports opened by the service proxy. There is an optional addon that provides cluster DNS for these cluster IPs. The user must create a service with the apiserver API to configure the proxy.

Synopsis The Kubernetes network proxy runs on each node. This reflects services as defined in the Kubernetes API on each node and can do simple TCP and UDP stream forwarding or round robin TCP and UDP forwarding across a set of backends. Service cluster IPs and ports are currently found through Docker-links-compatible environment variables specifying ports opened by the service proxy. There is an optional addon that provides cluster DNS for these cluster IPs. The user must create a service with the apiserver API to configure the proxy.

Благодарю за копипаст, но в этом тексте я не увидел описание существующей проблемы с которой я столкнусь в ближайшем будущем и способа ее решения которое предлагает kube-proxy. Прошу учесть, что я с кубернетисом всего 4-й вечер ? И прокся это единственный компонент смысл и задачи которого я не понимаю ? Все остальное уже вкурил

Всем ку, есть какие либо реккомендации по количеству мастеров относительно нод?

тут быстрее надо задуматься об etcd

и латентностью дисковой

Всем ку, есть какие либо реккомендации по количеству мастеров относительно нод?

1-3-5

(количество, которое вы готовы потерять) + 1

etcd - (количество, которое вы готовы потерять) * 2 + 1

Мастер все равно выбирается один насколько я понимаю, остальные нужны только для того чтобы не обосраться

Мастер все равно выбирается один насколько я понимаю, остальные нужны только для того чтобы не обосраться

Обращаться можно к любому апи серверу

Мастер все равно выбирается один насколько я понимаю, остальные нужны только для того чтобы не обосраться

Ну да там алгоритм консенсуса, остальные реплики

Обращаться можно к любому апи серверу

Эт другое

Ну да, обычно мастера не скеилятся

Отсюда и ограничение на количество нод

Но это не точно

Как я помню 5к нод в 1.8

На больших кластерах сплит-брейна не будет?

Зависит от количества etcd серверов :)

А сколько безопасно?) 3-5?

Начните с 3

Зависит от количества etcd серверов :)

каким образом количество серверов влияет на возможность сплит-брейна в рафте?

ERROR: S client not available

А федерацию кто-нибудь заводил?

каким образом количество серверов влияет на возможность сплит-брейна в рафте?

Ну если разделить сеть, будут голосовать за новый мастер

В каждой сети свой

а сплит-брейн здесь где?

А сколько безопасно?) 3-5?

даже 1 безопасно

потому что кластер будет работать и без мастера

вопрос только как долго)

а сплит-брейн здесь где?

ну теперь в одной части добавь ноды и вдругой

а потом востанови сеть

ну теперь в одной части добавь ноды и вдругой

зачем мне добавлять ноды?

пока что это идет по пути уранового лома

сплитбрейн - это вообще хуйовая ситуация для любого кластерного решения

Ребят, застрял на сертификатах CA_CERT put in on node where apiserver runs, for example in /srv/kubernetes/ca.crt. MASTER_CERT signed by CA_CERT put in on node where apiserver runs, for example in /srv/kubernetes/server.crt MASTER_KEY put in on node where apiserver runs, for example in /srv/kubernetes/server.key KUBELET_CERT optional KUBELET_KEY optional ничерта не понимаю и не могу найти где сказано для чего какой сертификат и самое главное где их взять? Можно ли тут использовать Let`s Encrypt как-то и что если пока для АПИ нет домена, а обращения только по IP?

зачем мне добавлять ноды?

Это как быстрая поломка, с временем состояние одной части и состояние другой будут отличатся

А федерацию кто-нибудь заводил?

???

Что?

Что?

Почитай что такое сплит-брейн, при разделении кластера рано или поздно состояние раздельных частей будет отличатся

в ответ предлагаю почитать про эффект даннига-крюгера и мои предыдущие ответы

и еще спеку рафта

Нашел доку https://rootsquash.com/2016/05/10/securing-the-kubernetes-api/ но я не догоняю что делать если у меня нету домена для мастера. Подскажите что делать?

А вот это вообще юзают? Или etcd может решить все задачи?https://github.com/thesandlord/kubernetes-pod-ip-finder

нужно получить список ip по лейблам

Так есть же днс запись для подов

По ней и получить айпи

Нужен список всех хостов в под лейблом

как правильно его получить из пода? (будь то хост или айпи)

Ну лейблы есть?

По лейблу получить весь список подов

Дальше по днс записи для пода получить айпи

я в теории это понимаю. но как мне получить это и передать в переменную окружения?

Что передать и куда?