И есть ли пример, как это сделать с помощью helm

У них в доке вроде было

Или в примерах

helm для этого отлично подходит, стандартная документация вполне понятна плюс ещё примеры можно глянуть

А ваще можно любой инструмент для шаблонизации использовать

Вот это оно, я все верно понял? https://github.com/kubernetes/helm/blob/master/docs/chart_template_guide/variables.md

да

в helm иногда хочется в values.yaml переменные использовать. наверное я что то делаю не так и наверное можно всякими anchor\reference обойтись

Продублирую здесь вопрос Подскажите, кто юзает cert-manager (kube-lego) при создании сущности Certificate что нужно указывать в поле ingress если в качестве ingress-а используется GCE Load balancer? Для gce в кубе нет инстансов ингресса, то есть load balancer не представлен в кубе ничем. В примерах просто указано my-gce-ingress

Спасибо!

можно как-то перевытянуть образ только для одного контейнера в поде (и перезапустить этот контейнер)?

а когда тогда обновить весь под, если тэг образа не поменялся? К примеру, у меня всегда самые последние изменения в latest. Только варварским delete pod?

зачем деплоить latest

какие это удобства вам дает?

я ужасно извиняюсь что спрашиваю по теме канала, но никто не использует static pods? Где про них можно почитать?

Просто кидаете под.yaml в /etc/kubernetes/manifests и kubelet их запустит. Bootkube так запускает self-hosted

Просто кидаете под.yaml в /etc/kubernetes/manifests и kubelet их запустит. Bootkube так запускает self-hosted

оно работает, но я малодушно опасаюсь подводных камней

какие это удобства вам дает?

при интенсивной разработке, чтобы не бампать версию в двух местах

оно работает, но я малодушно опасаюсь подводных камней

А их собсно нет.)

Чет CSI замороченный какой-то сильно, никто не в курсе, куб не собирается пока FlexVolume выкидывать?

Оно в v1 так что будет до v2 уж точно, но внимания ему меньше будет наверняка )

Вон iSCSI в кубе как говно сделан, всем пофиг )

при интенсивной разработке, чтобы не бампать версию в двух местах

что бампить? ваш ci это думаю может автоматически делать при сборке

при интенсивной разработке, чтобы не бампать версию в двух местах

пытаетесь переизобрести draft/skaffold?

Оно в v1 так что будет до v2 уж точно, но внимания ему меньше будет наверняка )

хорошо, поживем увидим :)

удобно просто, за неск часов навалял готовый драйвер на flexvolume, с CSI все куда сложнее...

Вон iSCSI в кубе как говно сделан, всем пофиг )

А что с iSCSI не так?

если его продеплоить как демонсет то его кто-то может удалить. Насколько я понимаю как он работает, при удаление его все продолжит работать

Это не повод ждать статик поды ) "может удалить" решается RBAC

удобно просто, за неск часов навалял готовый драйвер на flexvolume, с CSI все куда сложнее...

Я тоже от CSI ужаснулся :)

Они не удаляют блочное устройств, когда оно не нужно, изза этого multipath сломан. Они делают iSCSI logout , хотя это не их дело :) в итоге если вы с хоста сделали логин для каких то своих хостовых штук, то устройства выдернут на живую :)

Ну и вообще, вместо того чтобы дергать rescan scsi bus.sh из sg3 utils, дергают iscsiadm сами, с кучей кода и с багами как видно

пытаетесь переизобрести draft/skaffold?

что это?

Ок, значит iscsi даже пробовать пока не буду, напишу свой велосипед :) >Я тоже от CSI ужаснулся :) ну хоть не один я такой...

что это?

https://cloudplatform.googleblog.com/2018/03/introducing-Skaffold-Easy-and-repeatable-Kubernetes-development.html https://github.com/Azure/draft

Приходите делать Яндекс.Облако. rsu есть точно, скоро запуск. Делаем аналог AWS, GCP, Azure. Набираем очень много. Можно написать в личку за подробностями.

На cocaine?

На cocaine?

И в tank -)

Кто-нибудь redis держит в k8s?

я собираюсь redis cluster держать

Кто-нибудь redis держит в k8s?

задавайте сразу вопрос

Если sentinel, то statefullset или нет?

в стейбл чарте для redis-ha они тупо юзают деплоймент

я рассматриваю statefulset

https://cloudplatform.googleblog.com/2018/03/introducing-Skaffold-Easy-and-repeatable-Kubernetes-development.html https://github.com/Azure/draft

Once developers have figured out how Kubernetes works, they need to actuate Kubernetes APIs to accomplish their tasks ?

Ок, значит iscsi даже пробовать пока не буду, напишу свой велосипед :) >Я тоже от CSI ужаснулся :) ну хоть не один я такой...

CSI писали девелоперы, они любят такие штуки. FlexVolume более понятная админам :)

Вот-вот, чую что без изучения golang скоро будет совсем не обойтись

Привет всем! Умеет ли calico публиковать сеть с сервисами по bgp на внешние роутеры? Хотим сделать сетевую свзяность между подами и сервисами в разных кластерах.

что бампить? ваш ci это думаю может автоматически делать при сборке

до ci не всегда дело доходит

Вы без коммита в репозиторий что-то деплоите?

?

Вы без коммита в репозиторий что-то деплоите?

ну ладно, может они к этому идут постепенно

не ну не то что бы прям вот всегда....

Привет всем! Умеет ли calico публиковать сеть с сервисами по bgp на внешние роутеры? Хотим сделать сетевую свзяность между подами и сервисами в разных кластерах.

https://docs.projectcalico.org/v3.0/usage/configuration/bgp

https://docs.projectcalico.org/v3.0/usage/configuration/bgp

Если я правильно понял, то тут речь о сети подов. А я хочу в service ip ходить извне кластера

https://github.com/cloudnativelabs/kube-router это умеет, но он сырой совсем

У меня похожая задача, хочу на уровне пода сделать дополнительный контейнер для впн клиента, на основе вот этого решения: https://github.com/dperson/openvpn-client Поскольку в поде одна сеть на все контейнеры, то соседние смогут ходить по впн.

ну мне надо чтоб соединение с каждым клиентом можно было строго контролировать: минимум: есть набор подов, которые могут ходить в конкретную ВПН, максимум: только определенные задачи в поде могут ходить в конкретную ВПН

максимум недостижим, поскольку в поде общая сеть

ну либо делайте отдельный pod под ВПН и из него публикуйте нужные сервисы, доступ к которым лимитируете какими-нибудь костыльными средствами

Всем привет. Кто может подсказать как правильно вывести kubernetes-dashboard через ingress. Я задеплоил dashboard в дефолтной конфигурации, подключил авторизацию по token. Если иду черещ NodePort то залогиниться через token могу, а через ingress нет. Явных ошибок нету secure-backend: "true" в ingress правиле добавил.

максимум недостижим, поскольку в поде общая сеть

для максимума была идея сделать несколько интерфейсов в поде и делать разные вызовы по разным интерфейсам, что в принципе оч похоже на уопмянутые костыли. Непонятно, как решать проблему внутренних DNS имен кастомеров

да, это я пока тоже ещё не придумал

Если я правильно понял, то тут речь о сети подов. А я хочу в service ip ходить извне кластера

нет не умеет и так просто не реализовать

нет не умеет и так просто не реализовать

Спасибо. Значит буду пробовать kube-router

Вы без коммита в репозиторий что-то деплоите?

не знаю, зачем это здесь вообще обсуждать, вопрос вроде бы не про это

не знаю, зачем это здесь вообще обсуждать, вопрос вроде бы не про это

вам намекают на проблему XY

совсем вылетело из головы, как называется сетевая шняга, с котиком в логотипе?

netcat?

От оно! Спасибо

слишком долго я ее кастомизировал)) эту киску...)

https://www.cncf.io/certification/expert/CKA/ ребят, а вот этот серт - нужное дело или мусор?

Самое что ни на есть нужное

как и OCI

Круто. Еще одна бесполезная бумажка)

Главное заплатить за нее побольше, она тогда х2 профита приносит

Всем привет

где лучше (и проще) всего хранить состояние приложения (чтобы для него выглядело как файл), чтобы при обновлении новый под мог дальше с ним работать?

Столкнулся с проблемой , по. Поднятии

где лучше (и проще) всего хранить состояние приложения (чтобы для него выглядело как файл), чтобы при обновлении новый под мог дальше с ним работать?

PV

PV

какой?

При поднятии etcd кластера etcd сервис запускается но etcdctl member list или cluster-health жалуется на сертификаты , уже пробовал давать и из корпоротивного CA , и через cfssl

[root@etcd02 etcd]# etcdctl member list client: etcd cluster is unavailable or misconfigured; error #0: remote error: tls: bad certificate

Хотя по идее сертификаты нормальные , CA. Корневой в трастедах , и update-ca выполнен

Хотя по идее сертификаты нормальные , CA. Корневой в трастедах , и update-ca выполнен

Передай корневой через аргумент

какой?

? Квадратный

Норм так

Через квадратный аргумент, а потом сервер встанет и даст всем п@@@0 за такое )))) ,

Можно по подробнее

Ну и ошибка вроде не о невалидном, а о неверном...

В смысле, плохом

Через квадратный аргумент, а потом сервер встанет и даст всем п@@@0 за такое )))) ,

Квадратный то про pv, не путай аморфные серты с квадратными pv. Че ты совсем как маленький

Плохой, плохой сертификат, шалунишка

? Квадратный

я внимательно изучил список поддерживаемых PV, там нет такого типа

я внимательно изучил список поддерживаемых PV, там нет такого типа

Если внимательно изучил - почему не используешь в своей задаче!?

Вот мой конфиг