но кстати, говорят глюстер - весьма дурной тон ) Он у вас снаружи кластера или внутри?

https://github.com/kubernetes/kube-state-metrics ?

а дашборда для графаны к этому есть ?

А в 1.9 что поменяли? etcd-client там той,же версии

В 1.9 флаг deprecated, kubernetes его игнорирует и считает что всегда true

коллеги, кто-нибудь использует вояджер? как ощущения?

использовал, он какой-то странный. Решил перейти на традиционный ингресс.

но кстати, говорят глюстер - весьма дурной тон ) Он у вас снаружи кластера или внутри?

Отдельно. Но бесит, что постоянно (рандомно) пропадают эндпоинты и поды не разворачиваются. Находятся в вечном ContainerCreating. Причину не могу найти никак.

а дашборда для графаны к этому есть ?

мне не попадалась. Но по правде, я сильно не искал. Если найдете - дайте знать.

а дашборда для графаны к этому есть ?

А зачем? Есть же названия метрик (и дока по ним), можно самому сделать.

вот-вот... я смотрю с дашбордами вообще печаль, в чарт stable/grafana вообще блин 7 дней назад только закомитили код что бы их цеплять автоматом

Отдельно. Но бесит, что постоянно (рандомно) пропадают эндпоинты и поды не разворачиваются. Находятся в вечном ContainerCreating. Причину не могу найти никак.

как вариант, попробовать ендпоинты создавать принудительно.

затем что там все автоматизируется на ура, зачем же делать это вручную ?

как вариант, попробовать ендпоинты создавать принудительно.

По крону раз в 5 минут))

но мне кажется дело здесь в кривости глюстера. Что-то серьезное на него нельзя. По крайней мере в k8s. У меня тоже ендпоинты на гластер отпадали.

В 1.9 флаг deprecated, kubernetes его игнорирует и считает что всегда true

Ну надо же и года не прошло

использовал, он какой-то странный. Решил перейти на традиционный ингресс.

традиционный – это nginx?

традиционный – это nginx?

традиционный — это Ingress. Voyager — это пародия на Ingress.

т.к. мне нужна была хапрокся, то я заюзал единственный доступный вариант: https://github.com/jcmoraisjr/haproxy-ingress Помогаю разрабу допиливать код по мере надобности

посмотрю, спасибо. А то мне надо TCP-потоки чистые тоже принимать, спецпротокол. HTTP-то я через nginx протолкну, это несложно

поговаривают, что в nginx ingress controller есть модуль stream и он умеет в TCP

но это неточно

поговаривают, что в nginx ingress controller есть модуль stream и он умеет в TCP

да, умеет. Но я не хочу его использовать. Хочу сделать два класса ингресса - http через nginx и haproxy для просто TCP

чем tcp через nginx не устраивает, если не секрет?

хозяин — барин

чем tcp через nginx не устраивает, если не секрет?

мне кажется (кажется тут ключевое слово), что nginx будет плохо обрабатывать чистую балансировку TCP под большой нагрузкой. Он не для этого придуман

Все. Я наигрался. Кубер на двух дешманских нодах это не вариант.

Пойду swarm смотреть. Может веселее будет

Буду благодарен.

https://github.com/azalio/kuberstack-monitoring-events

ай, дал ссылку на свой форк

вообщем там есть оригинал )

https://github.com/kuberstack/kuberstack-monitoring-events

https://github.com/azalio/kuberstack-monitoring-events

Спасибо)

КАк сделать чтобы сервис был доступен из под? тут вариант только ingress?

Пойду swarm смотреть. Может веселее будет

веселее точно не будет. Такого секса у вас еще не было, поверьте

КАк сделать чтобы сервис был доступен из под? тут вариант только ingress?

доступен куда, на внешку? можно неявный ингресс сделать kubectl expose pod/deploy/rs

еще зависит от того что у вас за облако, чистый кубер или gcloud какой-нить грёбаный

Не, внутри кластера

КАк сделать чтобы сервис был доступен из под? тут вариант только ingress?

а можно сделать так чтобы недоступен был?

с calico можно) я сам удивился

а можно сделать так чтобы недоступен был?

через политики сети

helm template ./charts-myservice -f staging.yml | istioctl kube-inject -f - | kubectl apply -f - кто-нибудь может предложить команду попроще? :)

default-to-deny

через политики сети

я имею в виду сделать так, чтобы нельзя было отменить

Не, внутри кластера

надо через Service. expose --type=ClusterIP

helm template ./charts-myservice -f staging.yml | istioctl kube-inject -f - | kubectl apply -f - кто-нибудь может предложить команду попроще? :)

Можно же через istio-initializer

Если нет внешних сервисов

ну у меня не альфа

ну у меня не альфа

так там 2 срочки в admissionControl & runtime config добавить )

ммм, че-то упустил момент, почитаю спасибо :)

Если копсом разворачивал на awsе, то вот пример kubeAPIServer: admissionControl: - NamespaceLifecycle - LimitRanger - ServiceAccount - PersistentVolumeLabel - DefaultStorageClass - ResourceQuota - DefaultTolerationSeconds - Initializers runtimeConfig: admissionregistration.k8s.io/v1alpha1: "true"

Ну или эти же строчки можно руками добавить на апи Initializers / —runtime-сonfig=admissionregistration.k8s.io/v1alpha1=true

gke :)

надо через Service. expose --type=ClusterIP

>The Service "config" is invalid: spec.clusterIP: Invalid value: "": field is immutable or >Invalid value: "10.0.171.239": field is immutable

Господа, добрый день! Подскажите куда почитать кроме гугла - про особенности настройки k9 поверх vmware. Бывают некоторые проблемы с работой сетей приложения, хочу подиагностировать.

>The Service "config" is invalid: spec.clusterIP: Invalid value: "": field is immutable or >Invalid value: "10.0.171.239": field is immutable

Попробуйте без --type

или вероятно такой сервис уже создан

создан, но я делаю replace

лучше удалить и заново создать

а если создан, то зачем создавать? или там тип NodePort?

неа, там только spec: ports: - name: "3000" port: 3000 targetPort: 3000

targetPort можно убрать nodeport не нужен для сервиса который не должен смотреть в мир а вот на счет ingress не уверен

я про тип сервиса kubectl get services в поле TYPE что показывает для этого сервиса?

ClusterIP

Создался, ему маска подсети не нравиласьу сейчас с ingree LoadBalancer

Зачем ingress внутрикластерному сервису? просто обращайтесь на любую ноду по указанному порту и ClusterIP, он перенаправит сам.

Зачем ingress внутрикластерному сервису? просто обращайтесь на любую ноду по указанному порту и ClusterIP, он перенаправит сам.

да, все верно, спасибо! сложность оказалась в том что не супортиться icmp + в бинарных go контейнерах нету нормальных тулов для нетворк дебага

ок)

Гайз, еще вопрос почему может не резолвиться dns сервиса? ...exec -it config-5b4f9c9546-kz9t5 -- sh -c "curl -v 10.111.57.167:3000" - так работает ...exec -it config-5b4f9c9546-kz9t5 -- sh -c "curl -v static:3000" - не работает

Привет! У меня есть сервис в котором rest api по некоторому префиксу /prefix. Сейчас на него весь трафик бежит через один ингресс. Я хочу чтобы по префиксу /prefix/longer-prefix трафик на этот сервис шел через другой ингресс. Есть ли в такой схеме какие-нибудь нюансы?

Гайз, еще вопрос почему может не резолвиться dns сервиса? ...exec -it config-5b4f9c9546-kz9t5 -- sh -c "curl -v 10.111.57.167:3000" - так работает ...exec -it config-5b4f9c9546-kz9t5 -- sh -c "curl -v static:3000" - не работает

А там неймспейс какой? можно попробовать с полным именем static.default.svc.cluster.local

static это конечно так себе имя))

А там неймспейс какой? можно попробовать с полным именем static.default.svc.cluster.local

нейспейс в алиасе Could not resolve host: static.default.svc.cluster.local

static это конечно так себе имя))

как деволеры назвали, так и плаваем)

нейспейс в алиасе Could not resolve host: static.default.svc.cluster.local

- не работает днс-сервис - нет до него доступа

Из разных контейнеров DNS то есть, то нету:

а конфг сервисов из которых пытаюсь резолвить такой

с подой и сервисами dns все ок

Из разных контейнеров DNS то есть, то нету:

у меня такое поведение было, когда я читал доку между строк и не загрузил модуль ядра br_netfilter, который в свою очередь выставляет net/bridge/bridge-nf-call-iptables в 1

т.е. убедитесь что br_netfilter загружен и net.bridge.bridge-nf-call-iptables = 1

Всем привет. Подскажите пожалуйста с чего начать ознакомление с кубиком.

Всем привет. Подскажите пожалуйста с чего начать ознакомление с кубиком.

https://kubernetes.io/docs/setup/pick-right-solution/

Хотите любой кластер с calico нафиг уронить? Создайте NetworkPolicy где порт прописан именем, а не числом ) желательно в пятницу вечером

Хотите любой кластер с calico нафиг уронить? Создайте NetworkPolicy где порт прописан именем, а не числом ) желательно в пятницу вечером

А ему плохо от этого? Он не могет в буквы?)

Все calico-node паникуют и становятся недееспособными

народ, я че-то туплю... хочу чтобы деплойменты просходили один за другим (выкатили первый под, хелсчек сработал, выкатили второй под...) насколько я понял из доки стратегия такая: strategy: type: RollingUpdate rollingUpdate: maxSurge: 1 maxUnavailable: 1 один под выкатывается за раз, только один под может быть недоступен (unready) что концептуального я пропустил с моим знанием английского что они сразу все вываливаются? : )

Подскажите, а etcd-кластер обязательно должен иметь нечётное количество нод? Если я подниму четвёртый экземпляр, мне на него руками данные переносить нужно или он сам притянет изменения?

Должен все сделать сам https://coreos.com/etcd/docs/latest/op-guide/runtime-configuration.html#add-a-new-member > The new member will run as a part of the cluster and immediately begin catching up with the rest of the cluster.

другой вопрос - зачем нужен четвертый участник? чтобы вынуть один из первых трех?

народ, я че-то туплю... хочу чтобы деплойменты просходили один за другим (выкатили первый под, хелсчек сработал, выкатили второй под...) насколько я понял из доки стратегия такая: strategy: type: RollingUpdate rollingUpdate: maxSurge: 1 maxUnavailable: 1 один под выкатывается за раз, только один под может быть недоступен (unready) что концептуального я пропустил с моим знанием английского что они сразу все вываливаются? : )

они так и происходят, и это дефолтная стратегия, если не указано обратное. Как ты определяешь что они все сразу вываливаются?

как вариант поставь maxUnavailable: 0 - тогда вообще железобетонно.

ммм… скорее всего поэтому, спасибо

другой вопрос - зачем нужен четвертый участник? чтобы вынуть один из первых трех?

Да. Хочу на другой сервер перенести.

т.е. убедитесь что br_netfilter загружен и net.bridge.bridge-nf-call-iptables = 1

Спасибо, модуль ядра работал Оказалось, проблема в кривом фаерволе DigitalOcen-a, с нормальными правилами он не нормально работает

Хотите любой кластер с calico нафиг уронить? Создайте NetworkPolicy где порт прописан именем, а не числом ) желательно в пятницу вечером

Можно разработчикам написать, я сейчас с одним в чате сижу

Я им issue закинул, прямо с строчкой,кода где косяк