@kubernetes_ru

Страница 495 из 958
Fike
27.03.2018
17:37:29
Еще одна причина начать шифровать секреты/configmaps в etcd.
- Как мы будем бороться с открытыми на весь мир сервисами? - Шифровать содержимое?

Anton
27.03.2018
17:38:16
С помощью XOR!

Vasilyev
27.03.2018
17:52:03
- Как мы будем бороться с открытыми на весь мир сервисами? - Шифровать содержимое?
Пароли же не хранятся в ОС, в БД в в открытом виде, верно

И никого это не смущает

Google
Anton
27.03.2018
17:52:43
Пароли же не хранятся в ОС, в БД в в открытом виде, верно
Только вот и сама БД доступна на чтение не всем. Хотя ты, конечно, можешь сделать chmod 644 /etc/shadow. ?

Fike
27.03.2018
17:54:48
И никого это не смущает
Ребят, вы там серьезно собираетесь латать брешь в доступе шифрованием внутрянки вместо, в первую очередь, закрытия самой бреши?

Насколько я по диагонали понял, там и записать что угодно можно

Vasilyev
27.03.2018
17:55:21
Потому что, если фаервол "вдруг" окажется выключенным...хотя бы креды от авс не уплывут

Fike
27.03.2018
17:58:07
Это как давайте сделаем кровь человека ядовитой, потому что вдруг кожа куда-то денется, и ее всякие вампиры пить начнут

Slava
27.03.2018
18:55:24
Ребят, вы там серьезно собираетесь латать брешь в доступе шифрованием внутрянки вместо, в первую очередь, закрытия самой бреши?
Нет. Это было во вторую очередь, как дополнительная мера защиты (в т.ч. и от утечки бэкапа базы)

Vadim
27.03.2018
19:04:02
Нет. Это было во вторую очередь, как дополнительная мера защиты (в т.ч. и от утечки бэкапа базы)
Утечки бекапов вряд ли частый случай, а на расшифровку время тратится. Впрочем, опциональное включение было бы крутой фичей

Paul
27.03.2018
19:45:04
Сегодня утром уже обсуждали :)

Stanislav
27.03.2018
20:08:51
Кемерово

Dmytro
27.03.2018
20:43:13
Доброго дня, кто-то уже гонял AWS EKS (нативный k8s для aws)? Как оно работает?
я не гонял, только видел презентацию от хлопца из амазона - пока то что он показал сложно назвать работает

Google
bama^boy
27.03.2018
20:50:41
там надо кастомный kubeсtl ставить

Dmytro
27.03.2018
20:52:11
Пароли же не хранятся в ОС, в БД в в открытом виде, верно
так это же разные вещи - шифрование и хеширование

потом сразу возникает вопрос - а где взять ключ для расшифровки (что в случае паролей в базе или ос не нужно)

Это как давайте сделаем кровь человека ядовитой, потому что вдруг кожа куда-то денется, и ее всякие вампиры пить начнут
у меня есть пример получше. В 2009-2010 году у меня был проект (я тогда еще девелопером работал) и заказчик просил сделать бекдоры в коде, чтобы если украдут код (у них уже 2 раза крали код до того как я туда пришел) можно было зайти через бекдор и все удалить. Вот это из этой серии походу

там надо кастомный kubeсtl ставить
в презентации было вообще что дадут кастомный AMI - надо его заюзать при старте воркеров. Потом он показывал как через веб интерфейс можно будет проапргрейдить версию кубера, но когда я спросил этого парня а что же будет на моих воркерах - там же версия из вашего AMI, там каким-то магическим образом версия тоже проапгрейдится? - ответ был не знаю.

как по мне это какое-то поделие, мне непонятно зачем я должен менеджить воркеры вообще

Dmytro
27.03.2018
21:05:18
в чем профит что они менеджат мастера и etcd для меня а я должен непонятно как апдейтить воркеры, ну и делать им обычный maintenance - накатывать секьюрити фкисы и т.п.

сделали бы уже как у гугла где нет доступа к хосту

вот например если новый воркер не коннектится к мастеру - я же не зайду на мастер и не подебажу, надо создавать им тикет и т.д.

и таких тпипчных кейсов где нужно бежать создавать тикет будет миллион

bama^boy
27.03.2018
21:30:00
сделали бы уже как у гугла где нет доступа к хосту
у гугла есть доступ к хосту, по крайней мере, когда я щупал два года назад, то был. Там дебьян стоял.

Dmytro
27.03.2018
21:35:43
но там ведь не надо самому раскатывать AMI и т.д., правильно?

bama^boy
27.03.2018
21:39:42
но там ведь не надо самому раскатывать AMI и т.д., правильно?
ну там тоже рекомендуемый образ, при желании можно свой велосипед собрать

они же деньги за сервера воркеров получают, а сам кубернетес как сервис почти ничего не стоит

Dmytro
27.03.2018
21:53:14
ага нашел, кастомный image из командной строки доступен https://cloud.google.com/kubernetes-engine/docs/how-to/creating-a-container-cluster#creating_a_cluster но вот то что показал амазон (вернее, то что я видел на презентации которая по сути была сплошным маркетингом fargate) очень далеко от того что есть в гугле (и наверное есть уже 2 года как) clusters create NAME — zone ZONE — num-nodes=30 \  — enable-autoscaling — min-nodes=15 — max-nodes=50

Yuriy
28.03.2018
04:29:51
Всем привет. Сталкнулся с проблемой. Стартует Кластер, Flannel регистрирует для своей ноды субнет, далее стартует CNI А после Docker, проблема в том , что скрипт генирирующий сабнеты для докера дает те же значения которые назначаются для CNI интерфейса, в итоге докер конфликрует с CNI. Проблема решается ручной правкой ENV файла для докера и его рестартом, через назначение другого IP, Вопрос собственно, Как регулировать назначение IP для CNI или какие способы есть для фикса данной проблемы. Скрин прилагаю с измененным Docker0 интерфейсом.



Google
Yuriy
28.03.2018
04:31:20


Yuriy
28.03.2018
04:34:14
Можно по подробнее ?

Andrey
28.03.2018
04:39:21
Можно по подробнее ?
https://kubernetes.io/docs/getting-started-guides/scratch/#docker

Yuriy
28.03.2018
04:41:09
Еще вопрос , по данному оф гайду запускаю дашборд но токен не принимает, Никто не сталкивался ??? https://github.com/kubernetes/dashboard/wiki/Creating-sample-user

Andrey
28.03.2018
04:54:25
пишет что нибудь?

посмотрите логи соотв пода с kubectl logs pod

Oleg
28.03.2018
06:20:15
поставил 1.9.5, heapster не взлетел.

error while getting containers from Kubelet: failed to get all container stats from Kubelet URL "http://server:10255/stats/container/": Post http://server:10255/stats/container/: dial tcp server:10255: getsockopt: connection refused

что может быть?

bebebe
28.03.2018
06:27:37
расшарьте доступ до вашего окружения, вместе посмотрим

Usagi
28.03.2018
06:59:41
Кто-нибудь сталкивался с тем, что контейнеры не видят друг-друга?

Нашел этот баг: https://github.com/kubernetes/kubernetes/issues/60315

Let Eat
28.03.2018
07:13:50
посмотрел что делает я kops, вообще даже близко не походит на то, что описал. kops просто по ноде за раз в каждом failure domain обновляет, лучше чем ничего конечно

Ihor
28.03.2018
07:16:56
мы же об апгрейде кластера говорили или я уюе забыл?

Andrey
28.03.2018
07:23:30
с некоторых нод невозможно достучаться до DNS, но тут понятно, что нужно ковырять конфиги calico и правила iptables. однако, на тех нодах, что могут резолвить имена сервисов, тоже не все так гладко: core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x 34 core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x 51 core@ip-172-31-1-162 ~ $ x=0; for i in $(seq 1 100); do nslookup selenium-hub > /dev/null; if [[ $? -eq 1 ]]; then x=$(($x+1)); fi; done; echo $x 38

от 34 до 51 попытки резолва из 100 валится

врубил лог запросов у dnsmasq в подах с kube-dns, но там видны только запросы к сервису kubernetes I0328 07:25:08.118246 1 nanny.go:116] dnsmasq[13]: query[A] kubernetes.default.svc.cluster.local from 127.0.0.1 I0328 07:25:08.118522 1 nanny.go:116] dnsmasq[13]: forwarded kubernetes.default.svc.cluster.local to 127.0.0.1 I0328 07:25:08.118572 1 nanny.go:116] dnsmasq[13]: reply kubernetes.default.svc.cluster.local is 10.233.0.1 I0328 07:25:09.516484 1 nanny.go:116] dnsmasq[13]: query[TXT] hits.bind from 127.0.0.1 I0328 07:25:09.516504 1 nanny.go:116] dnsmasq[13]: config hits.bind is <TXT> I0328 07:25:09.516614 1 nanny.go:116] dnsmasq[13]: query[TXT] misses.bind from 127.0.0.1 I0328 07:25:09.516648 1 nanny.go:116] dnsmasq[13]: config misses.bind is <TXT> I0328 07:25:09.516760 1 nanny.go:116] dnsmasq[13]: query[TXT] evictions.bind from 127.0.0.1 I0328 07:25:09.516787 1 nanny.go:116] dnsmasq[13]: config evictions.bind is <TXT> I0328 07:25:09.516901 1 nanny.go:116] dnsmasq[13]: query[TXT] insertions.bind from 127.0.0.1 I0328 07:25:09.516927 1 nanny.go:116] dnsmasq[13]: config insertions.bind is <TXT> I0328 07:25:09.517039 1 nanny.go:116] dnsmasq[13]: query[TXT] cachesize.bind from 127.0.0.1 I0328 07:25:09.517050 1 nanny.go:116] dnsmasq[13]: config cachesize.bind is <TXT> I0328 07:25:13.118452 1 nanny.go:116] dnsmasq[13]: query[A] kubernetes.default.svc.cluster.local from 127.0.0.1 I0328 07:25:13.118476 1 nanny.go:116] dnsmasq[13]: cached kubernetes.default.svc.cluster.local is 10.233.0.1

Google
Andrey
28.03.2018
07:26:34
нашел вот это, только у меня такое даже на нодах https://github.com/kubernetes/kubernetes/issues/47142

как решать-то дальше проблему?

сеть calico, развернул через kubespray, k8s 1.9.6

Я верно понимаю, что проблема в сети и запросы до днс просто не доходят?

Раз их в логах нет

john
28.03.2018
07:32:08
домен .local?

Andrey
28.03.2018
07:32:17
Да

john
28.03.2018
07:32:25
смени на другое

.loc

.loc2

только не .local

Andrey
28.03.2018
07:33:11
Я попробую, но почему так?

john
28.03.2018
07:33:36
вот чото local чему-то не нравится

уже встречал такой кейз

Andrey
28.03.2018
07:34:12
Спасибо, я проверю

Vasilyev
28.03.2018
07:54:39
Я попробую, но почему так?
https://askubuntu.com/questions/843943/how-to-replace-mdns4-minimal-with-bind?answertab=votes#tab-top

Andrey
28.03.2018
07:55:06
у меня coreos

там avahi нет

Vasilyev
28.03.2018
07:57:35
так это как направление для подумать почему может возникнуть проблема с .локал

Let Eat
28.03.2018
07:59:17
мы же об апгрейде кластера говорили или я уюе забыл?
Да, никакого интеллекта копс не проявляет, по ноде за раз обновляет

Google
Ihor
28.03.2018
08:00:11
ну да. но он жее ее кордонит, дрейнит, и ждет, чтобы поды все в раннинг стейте были. потом ждет, пока эта нода поднимется, станет Ready и повторяет

что же вы от него еще хотите?

гайз, а кто-то пробовал linux-gke ядро совать в Ubuntu 16.04 ноды кубера?

Страница 495 из 958