
Fike
27.03.2018
17:37:29

Anton
27.03.2018
17:38:16
С помощью XOR!

Vasilyev
27.03.2018
17:52:03
И никого это не смущает

Google

Anton
27.03.2018
17:52:43

Fike
27.03.2018
17:54:48
И никого это не смущает
Ребят, вы там серьезно собираетесь латать брешь в доступе шифрованием внутрянки вместо, в первую очередь, закрытия самой бреши?
Насколько я по диагонали понял, там и записать что угодно можно

Vasilyev
27.03.2018
17:55:21
Потому что, если фаервол "вдруг" окажется выключенным...хотя бы креды от авс не уплывут

Fike
27.03.2018
17:58:07
Это как давайте сделаем кровь человека ядовитой, потому что вдруг кожа куда-то денется, и ее всякие вампиры пить начнут

Slava
27.03.2018
18:55:24

Vadim
27.03.2018
19:04:02

Paul
27.03.2018
19:45:04
Сегодня утром уже обсуждали :)

Stanislav
27.03.2018
20:08:51
Кемерово

Dmytro
27.03.2018
20:43:13

Google

bama^boy
27.03.2018
20:50:41
там надо кастомный kubeсtl ставить

Dmytro
27.03.2018
20:52:11
потом сразу возникает вопрос - а где взять ключ для расшифровки (что в случае паролей в базе или ос не нужно)
там надо кастомный kubeсtl ставить
в презентации было вообще что дадут кастомный AMI - надо его заюзать при старте воркеров. Потом он показывал как через веб интерфейс можно будет проапргрейдить версию кубера, но когда я спросил этого парня а что же будет на моих воркерах - там же версия из вашего AMI, там каким-то магическим образом версия тоже проапгрейдится? - ответ был не знаю.
как по мне это какое-то поделие, мне непонятно зачем я должен менеджить воркеры вообще


bama^boy
27.03.2018
21:04:07

Dmytro
27.03.2018
21:05:18
в чем профит что они менеджат мастера и etcd для меня а я должен непонятно как апдейтить воркеры, ну и делать им обычный maintenance - накатывать секьюрити фкисы и т.п.
сделали бы уже как у гугла где нет доступа к хосту
вот например если новый воркер не коннектится к мастеру - я же не зайду на мастер и не подебажу, надо создавать им тикет и т.д.
и таких тпипчных кейсов где нужно бежать создавать тикет будет миллион

bama^boy
27.03.2018
21:30:00

Dmytro
27.03.2018
21:35:43
но там ведь не надо самому раскатывать AMI и т.д., правильно?

bama^boy
27.03.2018
21:39:42
они же деньги за сервера воркеров получают, а сам кубернетес как сервис почти ничего не стоит

Dmytro
27.03.2018
21:53:14
ага нашел, кастомный image из командной строки доступен https://cloud.google.com/kubernetes-engine/docs/how-to/creating-a-container-cluster#creating_a_cluster
но вот то что показал амазон (вернее, то что я видел на презентации которая по сути была сплошным маркетингом fargate) очень далеко от того что есть в гугле (и наверное есть уже 2 года как)
clusters create NAME — zone ZONE — num-nodes=30 \
— enable-autoscaling — min-nodes=15 — max-nodes=50


Yuriy
28.03.2018
04:29:51
Всем привет. Сталкнулся с проблемой. Стартует Кластер, Flannel регистрирует для своей ноды субнет, далее стартует CNI А после Docker, проблема в том , что скрипт генирирующий сабнеты для докера дает те же значения которые назначаются для CNI интерфейса, в итоге докер конфликрует с CNI. Проблема решается ручной правкой ENV файла для докера и его рестартом, через назначение другого IP, Вопрос собственно, Как регулировать назначение IP для CNI или какие способы есть для фикса данной проблемы. Скрин прилагаю с измененным Docker0 интерфейсом.

Google

Yuriy
28.03.2018
04:31:20

Andrey
28.03.2018
04:33:54

Yuriy
28.03.2018
04:34:14
Можно по подробнее ?

Andrey
28.03.2018
04:39:21

Yuriy
28.03.2018
04:41:09
Еще вопрос , по данному оф гайду запускаю дашборд но токен не принимает, Никто не сталкивался ??? https://github.com/kubernetes/dashboard/wiki/Creating-sample-user

Andrey
28.03.2018
04:54:25
пишет что нибудь?
посмотрите логи соотв пода с kubectl logs pod

Oleg
28.03.2018
06:20:15
поставил 1.9.5, heapster не взлетел.
error while getting containers from Kubelet: failed to get all container stats from Kubelet URL "http://server:10255/stats/container/": Post http://server:10255/stats/container/: dial tcp server:10255: getsockopt: connection refused
что может быть?

bebebe
28.03.2018
06:27:37
расшарьте доступ до вашего окружения, вместе посмотрим

Vladislav
28.03.2018
06:35:16

Usagi
28.03.2018
06:59:41
Кто-нибудь сталкивался с тем, что контейнеры не видят друг-друга?
Нашел этот баг: https://github.com/kubernetes/kubernetes/issues/60315

Let Eat
28.03.2018
07:13:50
посмотрел что делает я kops, вообще даже близко не походит на то, что описал. kops просто по ноде за раз в каждом failure domain обновляет, лучше чем ничего конечно

Ihor
28.03.2018
07:16:56
мы же об апгрейде кластера говорили или я уюе забыл?


Andrey
28.03.2018
07:23:30
с некоторых нод невозможно достучаться до DNS, но тут понятно, что нужно ковырять конфиги calico и правила iptables. однако, на тех нодах, что могут резолвить имена сервисов, тоже не все так гладко:
core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x
34
core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x
51
core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x
38
от 34 до 51 попытки резолва из 100 валится
врубил лог запросов у dnsmasq в подах с kube-dns, но там видны только запросы к сервису kubernetes
I0328 07:25:08.118246 1 nanny.go:116] dnsmasq[13]: query[A] kubernetes.default.svc.cluster.local from 127.0.0.1
I0328 07:25:08.118522 1 nanny.go:116] dnsmasq[13]: forwarded kubernetes.default.svc.cluster.local to 127.0.0.1
I0328 07:25:08.118572 1 nanny.go:116] dnsmasq[13]: reply kubernetes.default.svc.cluster.local is 10.233.0.1
I0328 07:25:09.516484 1 nanny.go:116] dnsmasq[13]: query[TXT] hits.bind from 127.0.0.1
I0328 07:25:09.516504 1 nanny.go:116] dnsmasq[13]: config hits.bind is <TXT>
I0328 07:25:09.516614 1 nanny.go:116] dnsmasq[13]: query[TXT] misses.bind from 127.0.0.1
I0328 07:25:09.516648 1 nanny.go:116] dnsmasq[13]: config misses.bind is <TXT>
I0328 07:25:09.516760 1 nanny.go:116] dnsmasq[13]: query[TXT] evictions.bind from 127.0.0.1
I0328 07:25:09.516787 1 nanny.go:116] dnsmasq[13]: config evictions.bind is <TXT>
I0328 07:25:09.516901 1 nanny.go:116] dnsmasq[13]: query[TXT] insertions.bind from 127.0.0.1
I0328 07:25:09.516927 1 nanny.go:116] dnsmasq[13]: config insertions.bind is <TXT>
I0328 07:25:09.517039 1 nanny.go:116] dnsmasq[13]: query[TXT] cachesize.bind from 127.0.0.1
I0328 07:25:09.517050 1 nanny.go:116] dnsmasq[13]: config cachesize.bind is <TXT>
I0328 07:25:13.118452 1 nanny.go:116] dnsmasq[13]: query[A] kubernetes.default.svc.cluster.local from 127.0.0.1
I0328 07:25:13.118476 1 nanny.go:116] dnsmasq[13]: cached kubernetes.default.svc.cluster.local is 10.233.0.1

Google

Andrey
28.03.2018
07:26:34
нашел вот это, только у меня такое даже на нодах https://github.com/kubernetes/kubernetes/issues/47142
как решать-то дальше проблему?
сеть calico, развернул через kubespray, k8s 1.9.6
Я верно понимаю, что проблема в сети и запросы до днс просто не доходят?
Раз их в логах нет

john
28.03.2018
07:32:08
домен .local?

Andrey
28.03.2018
07:32:17
Да

john
28.03.2018
07:32:25
смени на другое
.loc
.loc2
только не .local

Andrey
28.03.2018
07:33:11
Я попробую, но почему так?

john
28.03.2018
07:33:36
вот чото local чему-то не нравится
уже встречал такой кейз

Andrey
28.03.2018
07:34:12
Спасибо, я проверю

Vasilyev
28.03.2018
07:54:39

Andrey
28.03.2018
07:55:06
у меня coreos
там avahi нет

Vasilyev
28.03.2018
07:57:35
так это как направление для подумать почему может возникнуть проблема с .локал

Let Eat
28.03.2018
07:59:17

Google

Ihor
28.03.2018
08:00:11
ну да. но он жее ее кордонит, дрейнит, и ждет, чтобы поды все в раннинг стейте были. потом ждет, пока эта нода поднимется, станет Ready и повторяет
что же вы от него еще хотите?
гайз, а кто-то пробовал linux-gke ядро совать в Ubuntu 16.04 ноды кубера?