Еще одна причина начать шифровать секреты/configmaps в etcd.

- Как мы будем бороться с открытыми на весь мир сервисами? - Шифровать содержимое?

С помощью XOR!

- Как мы будем бороться с открытыми на весь мир сервисами? - Шифровать содержимое?

Пароли же не хранятся в ОС, в БД в в открытом виде, верно

И никого это не смущает

Пароли же не хранятся в ОС, в БД в в открытом виде, верно

Только вот и сама БД доступна на чтение не всем. Хотя ты, конечно, можешь сделать chmod 644 /etc/shadow. ?

И никого это не смущает

Ребят, вы там серьезно собираетесь латать брешь в доступе шифрованием внутрянки вместо, в первую очередь, закрытия самой бреши?

Насколько я по диагонали понял, там и записать что угодно можно

Ребят, вы там серьезно собираетесь латать брешь в доступе шифрованием внутрянки вместо, в первую очередь, закрытия самой бреши?

Нет. Это как доп меры защиты

Потому что, если фаервол "вдруг" окажется выключенным...хотя бы креды от авс не уплывут

Это как давайте сделаем кровь человека ядовитой, потому что вдруг кожа куда-то денется, и ее всякие вампиры пить начнут

Ребят, вы там серьезно собираетесь латать брешь в доступе шифрованием внутрянки вместо, в первую очередь, закрытия самой бреши?

Нет. Это было во вторую очередь, как дополнительная мера защиты (в т.ч. и от утечки бэкапа базы)

Нет. Это было во вторую очередь, как дополнительная мера защиты (в т.ч. и от утечки бэкапа базы)

Утечки бекапов вряд ли частый случай, а на расшифровку время тратится. Впрочем, опциональное включение было бы крутой фичей

Сегодня утром уже обсуждали :)

Кемерово

как вы сливаете кубконфиги в один файл? или добавляете ещё один контекст в существующий

баш скриптом слепливаю

Понимание у базы есть что нужно делать эмиграцию. Но вернется метод update столько раз сколько реплик поднято, но 1 реально обновит, а остальные вхолостую отработают

а почему job с миграциями коннектится не к мастеру а ко всем 6 репликам (или вообще 6 job)?

Доброго дня, кто-то уже гонял AWS EKS (нативный k8s для aws)? Как оно работает?

я не гонял, только видел презентацию от хлопца из амазона - пока то что он показал сложно назвать работает

я не гонял, только видел презентацию от хлопца из амазона - пока то что он показал сложно назвать работает

Нам прислали документацию для preview под NDA, оно кажется очень сырым

там надо кастомный kubeсtl ставить

товарищи, почему-то вот такой шаг в докер файле выполняется, но не кэшируется.. не подскажите в чем может быть проблема? RUN git clone -b $(curl -L https://grpc.io/release) https://github.com/grpc/grpc \ && cd grpc \ && git submodule update --init \ && make && make install

лучше так не делать - надо ставить конкретную версию пакета и очень желательно еще и checksum архива проверить перед распаковкой

Пароли же не хранятся в ОС, в БД в в открытом виде, верно

так это же разные вещи - шифрование и хеширование

потом сразу возникает вопрос - а где взять ключ для расшифровки (что в случае паролей в базе или ос не нужно)

Это как давайте сделаем кровь человека ядовитой, потому что вдруг кожа куда-то денется, и ее всякие вампиры пить начнут

у меня есть пример получше. В 2009-2010 году у меня был проект (я тогда еще девелопером работал) и заказчик просил сделать бекдоры в коде, чтобы если украдут код (у них уже 2 раза крали код до того как я туда пришел) можно было зайти через бекдор и все удалить. Вот это из этой серии походу

там надо кастомный kubeсtl ставить

в презентации было вообще что дадут кастомный AMI - надо его заюзать при старте воркеров. Потом он показывал как через веб интерфейс можно будет проапргрейдить версию кубера, но когда я спросил этого парня а что же будет на моих воркерах - там же версия из вашего AMI, там каким-то магическим образом версия тоже проапгрейдится? - ответ был не знаю.

как по мне это какое-то поделие, мне непонятно зачем я должен менеджить воркеры вообще

в презентации было вообще что дадут кастомный AMI - надо его заюзать при старте воркеров. Потом он показывал как через веб интерфейс можно будет проапргрейдить версию кубера, но когда я спросил этого парня а что же будет на моих воркерах - там же версия из вашего AMI, там каким-то магическим образом версия тоже проапгрейдится? - ответ был не знаю.

ami есть публичный, но как-то не хочется связываться с amazon linux

в чем профит что они менеджат мастера и etcd для меня а я должен непонятно как апдейтить воркеры, ну и делать им обычный maintenance - накатывать секьюрити фкисы и т.п.

сделали бы уже как у гугла где нет доступа к хосту

вот например если новый воркер не коннектится к мастеру - я же не зайду на мастер и не подебажу, надо создавать им тикет и т.д.

и таких тпипчных кейсов где нужно бежать создавать тикет будет миллион

сделали бы уже как у гугла где нет доступа к хосту

у гугла есть доступ к хосту, по крайней мере, когда я щупал два года назад, то был. Там дебьян стоял.

но там ведь не надо самому раскатывать AMI и т.д., правильно?

но там ведь не надо самому раскатывать AMI и т.д., правильно?

ну там тоже рекомендуемый образ, при желании можно свой велосипед собрать

они же деньги за сервера воркеров получают, а сам кубернетес как сервис почти ничего не стоит

ага нашел, кастомный image из командной строки доступен https://cloud.google.com/kubernetes-engine/docs/how-to/creating-a-container-cluster#creating_a_cluster но вот то что показал амазон (вернее, то что я видел на презентации которая по сути была сплошным маркетингом fargate) очень далеко от того что есть в гугле (и наверное есть уже 2 года как) clusters create NAME — zone ZONE — num-nodes=30 \  — enable-autoscaling — min-nodes=15 — max-nodes=50

Всем привет. Сталкнулся с проблемой. Стартует Кластер, Flannel регистрирует для своей ноды субнет, далее стартует CNI А после Docker, проблема в том , что скрипт генирирующий сабнеты для докера дает те же значения которые назначаются для CNI интерфейса, в итоге докер конфликрует с CNI. Проблема решается ручной правкой ENV файла для докера и его рестартом, через назначение другого IP, Вопрос собственно, Как регулировать назначение IP для CNI или какие способы есть для фикса данной проблемы. Скрин прилагаю с измененным Docker0 интерфейсом.

Всем привет. Сталкнулся с проблемой. Стартует Кластер, Flannel регистрирует для своей ноды субнет, далее стартует CNI А после Docker, проблема в том , что скрипт генирирующий сабнеты для докера дает те же значения которые назначаются для CNI интерфейса, в итоге докер конфликрует с CNI. Проблема решается ручной правкой ENV файла для докера и его рестартом, через назначение другого IP, Вопрос собственно, Как регулировать назначение IP для CNI или какие способы есть для фикса данной проблемы. Скрин прилагаю с измененным Docker0 интерфейсом.

вроде как надо выключать docker0, если по гайду

Можно по подробнее ?

Можно по подробнее ?

https://kubernetes.io/docs/getting-started-guides/scratch/#docker

https://kubernetes.io/docs/getting-started-guides/scratch/#docker

спасибо

Еще вопрос , по данному оф гайду запускаю дашборд но токен не принимает, Никто не сталкивался ??? https://github.com/kubernetes/dashboard/wiki/Creating-sample-user

пишет что нибудь?

посмотрите логи соотв пода с kubectl logs pod

поставил 1.9.5, heapster не взлетел.

error while getting containers from Kubelet: failed to get all container stats from Kubelet URL "http://server:10255/stats/container/": Post http://server:10255/stats/container/: dial tcp server:10255: getsockopt: connection refused

что может быть?

расшарьте доступ до вашего окружения, вместе посмотрим

у гугла есть доступ к хосту, по крайней мере, когда я щупал два года назад, то был. Там дебьян стоял.

Сейчас тоже есть

Кто-нибудь сталкивался с тем, что контейнеры не видят друг-друга?

Нашел этот баг: https://github.com/kubernetes/kubernetes/issues/60315

посмотрел что делает я kops, вообще даже близко не походит на то, что описал. kops просто по ноде за раз в каждом failure domain обновляет, лучше чем ничего конечно

мы же об апгрейде кластера говорили или я уюе забыл?

с некоторых нод невозможно достучаться до DNS, но тут понятно, что нужно ковырять конфиги calico и правила iptables. однако, на тех нодах, что могут резолвить имена сервисов, тоже не все так гладко: core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x 34 core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x 51 core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x 38

от 34 до 51 попытки резолва из 100 валится

врубил лог запросов у dnsmasq в подах с kube-dns, но там видны только запросы к сервису kubernetes I0328 07:25:08.118246 1 nanny.go:116] dnsmasq[13]: query[A] kubernetes.default.svc.cluster.local from 127.0.0.1 I0328 07:25:08.118522 1 nanny.go:116] dnsmasq[13]: forwarded kubernetes.default.svc.cluster.local to 127.0.0.1 I0328 07:25:08.118572 1 nanny.go:116] dnsmasq[13]: reply kubernetes.default.svc.cluster.local is 10.233.0.1 I0328 07:25:09.516484 1 nanny.go:116] dnsmasq[13]: query[TXT] hits.bind from 127.0.0.1 I0328 07:25:09.516504 1 nanny.go:116] dnsmasq[13]: config hits.bind is <TXT> I0328 07:25:09.516614 1 nanny.go:116] dnsmasq[13]: query[TXT] misses.bind from 127.0.0.1 I0328 07:25:09.516648 1 nanny.go:116] dnsmasq[13]: config misses.bind is <TXT> I0328 07:25:09.516760 1 nanny.go:116] dnsmasq[13]: query[TXT] evictions.bind from 127.0.0.1 I0328 07:25:09.516787 1 nanny.go:116] dnsmasq[13]: config evictions.bind is <TXT> I0328 07:25:09.516901 1 nanny.go:116] dnsmasq[13]: query[TXT] insertions.bind from 127.0.0.1 I0328 07:25:09.516927 1 nanny.go:116] dnsmasq[13]: config insertions.bind is <TXT> I0328 07:25:09.517039 1 nanny.go:116] dnsmasq[13]: query[TXT] cachesize.bind from 127.0.0.1 I0328 07:25:09.517050 1 nanny.go:116] dnsmasq[13]: config cachesize.bind is <TXT> I0328 07:25:13.118452 1 nanny.go:116] dnsmasq[13]: query[A] kubernetes.default.svc.cluster.local from 127.0.0.1 I0328 07:25:13.118476 1 nanny.go:116] dnsmasq[13]: cached kubernetes.default.svc.cluster.local is 10.233.0.1

нашел вот это, только у меня такое даже на нодах https://github.com/kubernetes/kubernetes/issues/47142

как решать-то дальше проблему?

сеть calico, развернул через kubespray, k8s 1.9.6

Я верно понимаю, что проблема в сети и запросы до днс просто не доходят?

Раз их в логах нет

домен .local?

Да

смени на другое

.loc

.loc2

только не .local

Я попробую, но почему так?

вот чото local чему-то не нравится

уже встречал такой кейз

Спасибо, я проверю

Я попробую, но почему так?

https://askubuntu.com/questions/843943/how-to-replace-mdns4-minimal-with-bind?answertab=votes#tab-top

у меня coreos

там avahi нет

так это как направление для подумать почему может возникнуть проблема с .локал

мы же об апгрейде кластера говорили или я уюе забыл?

Да, никакого интеллекта копс не проявляет, по ноде за раз обновляет

ну да. но он жее ее кордонит, дрейнит, и ждет, чтобы поды все в раннинг стейте были. потом ждет, пока эта нода поднимется, станет Ready и повторяет

что же вы от него еще хотите?

гайз, а кто-то пробовал linux-gke ядро совать в Ubuntu 16.04 ноды кубера?