@kubernetes_ru

Страница 522 из 958
 
Valentin
18.04.2018
07:49:37
в ролях разве можно указать конкретные секреты?

 
kvaps
18.04.2018
07:50:05
Я тут открыл одну (не)очевидную вещь: Любой под может замаунтить любой секрет, даже если его service account не имеет прав по RBAC этот секрет читать. Еще один аргумент в пользу подхода по неймспеймсу на приложение
+

 
Баг репорт отправил?)

 
Let Eat
18.04.2018
07:53:04
Это by design, issue висит с 2015 года где все отцы основатели высказались

Google
 
Let Eat
18.04.2018
07:53:04
в ролях разве можно указать конкретные секреты?
Да, resourceNames: []

 
Vadim
18.04.2018
08:24:31
Это by design, issue висит с 2015 года где все отцы основатели высказались
а в чем "by design" часть? "дать подержать" поду секрет, который он не может читать?

 
Andor
18.04.2018
08:26:20
вот: bash-3.2# kubectl describe pod jenkins-6bc67f99d7-vvkxn | grep IP IP: 10.233.92.147 bash-3.2# kubectl describe pod jenkins-6bc67f99d7-vvkxn | grep Node Node: master/167.99.97.182 bash-3.2# kubectl describe pod gitlab-gitlab-764bd7665-vgx49 | grep IP IP: 10.233.95.50 kubectl describe pod gitlab-gitlab-764bd7665-vgx49 | grep Node Node: node1/159.65.96.125 bash-3.2# kubectl exec -it gitlab-gitlab-764bd7665-vgx49 /bin/bash error: unable to upgrade connection: container not found ("gitlab") bash-3.2# kubectl exec -it jenkins-6bc67f99d7-vvkxn /bin/bash jenkins@jenkins-6bc67f99d7-vvkxn:/$ ping 10.233.92.147 PING 10.233.92.147 (10.233.92.147): 56 data bytes 64 bytes from 10.233.92.147: icmp_seq=0 ttl=64 time=0.055 ms 64 bytes from 10.233.92.147: icmp_seq=1 ttl=64 time=0.116 ms
Прикольно, дженкинс живёт на мастере

 
Alexander
18.04.2018
08:27:27
Прикольно, дженкинс живёт на мастере
его я поднял из helm с целью быстрой проверки сети из pod а

 
Andor
18.04.2018
08:27:57
"нужна быстрая проверка сети... Подниму-ка дженкинс!"

 
Извините

 
Alexander
18.04.2018
08:30:23
"нужна быстрая проверка сети... Подниму-ка дженкинс!"
да, почему бы и нет если вместо него был бы вордпресс, я думаю, мое сообщение не удостоилось бы комментария

 
Andor
18.04.2018
08:31:29
Нет, был бы тот же комментарий

 
Я бы поднял какой-нибудь под с убунтой

 
Без лишнего софта

 
Stanislav
18.04.2018
08:33:00
Коллеги, кто может мне подсказать. Есть задача развернуть кластер baremetal на виртуалках, соответственно на каждой из трех железок будет виртуалки с набором контейнеров кубера. Вопрос в том, как они должны общаться между собой через железные тачки и не будет ли проблем для flannel при такой конфигурации?

 
1 мастер, 2 слейва

 
Andor
18.04.2018
08:34:17
Мы на железе планиуем бгп

Google
 
Andor
18.04.2018
08:34:24
Без всяких ипип туннелей

 
Stanislav
18.04.2018
08:36:41
0_o

 
Andor
18.04.2018
08:37:01
Читай "без фланнель"

 
Либо калико либо вейв

 
Alexey
18.04.2018
08:45:23
Коллеги, тут у меня возник конфликт интересов с нашим тимлидом программистов, запустил, значит на кластере его приложение, и один из компонентов этого приложения крутится по 1 экземпляру на всех нодах. Так вот, я хз что оно там внутри делает, но ему нужно много памяти, причём желательно всей, что есть на нодах. Допустим условно есть 10 нод по 8 гигов. Он в курсе конфигурации, так вот - он их использует из расчёта, что все 8 гигов доступны его приложению. И периодически из-за OOM вылетают другие поды на этих нодах, или поды самого этого компонента. Но его поды очень даже стейтфул, так что им вылетать не нужно. Он предлагает включить своп на нодах, Сам кубелет по-умолчанию не любит свап и не запускается без спец опции

 
Вопрос, чем мне грозит использование свапа и этой опции?

 
Andor
18.04.2018
08:48:34
А его можно слать нах?

 
Sergey
18.04.2018
08:49:06
А его можно слать нах?
+

 
Andor
18.04.2018
08:49:47
Он тимлид программистов и мнение каких-то там админов его не волнует, так?

 
Maksim
18.04.2018
08:50:35
Ты еги придожение в своп запихни, пусть потрадуется.

 
Alexey
18.04.2018
08:51:24
ну... можно, я это сделал мягко, но класстер существует, для его разработки. И вариант с увеличением памяти на нодах, не подходит, т.к. они дороже, а поэтому нужно использовать всю свободную память и он будет это делать, т.к. он типа "думает о рентабельности проекта")

 
Maksim
18.04.2018
08:51:51
Ичпользование свапа грозит не верной оценкой кол-ва вирт памяти на нодах, как следствие сильной деградации чкорости работы подов в свапе.

 
Andor
18.04.2018
08:51:59
А о надёжности системы он не думает, раз приложение убивается по оом?

 
Alexey
18.04.2018
08:52:14
Ты еги придожение в своп запихни, пусть потрадуется.
Ну в том и вопрос - можно ли одни поды в свап пихать, а чтоб всё остальное не страдало?

 
Maksim
18.04.2018
08:52:15
Херовый тимлид)

 
Andor
18.04.2018
08:52:40
Ну и о рентабельности должен манагер заботиться какой-нибудь, явно не тимлид

 
Maksim
18.04.2018
08:52:49
Какой нить хезелкаст или игнайт он там крутит

 
Andor
18.04.2018
08:52:51
Ну в том и вопрос - можно ли одни поды в свап пихать, а чтоб всё остальное не страдало?
Говно идея

 
Banschikov
18.04.2018
08:52:55
Извиняюсь что отвелекаю от беседы) Подскажите куда копать если контейнер висит в состоянии ContainerCreating?

 
Andor
18.04.2018
08:53:05
Извиняюсь что отвелекаю от беседы) Подскажите куда копать если контейнер висит в состоянии ContainerCreating?
Смотреть почему висит

Google
 
Pavel
18.04.2018
08:53:10
ну... можно, я это сделал мягко, но класстер существует, для его разработки. И вариант с увеличением памяти на нодах, не подходит, т.к. они дороже, а поэтому нужно использовать всю свободную память и он будет это делать, т.к. он типа "думает о рентабельности проекта")
Может на отдельные ноды вытащить его приложение, чтобы не аффектило остальные? И пускай там сидит весь в свопе?

 
Alexey
18.04.2018
08:53:16
Херовый тимлид)
Ну он из епама пришёл, что от них ещё ждать)

 
Maksim
18.04.2018
08:53:18
Извиняюсь что отвелекаю от беседы) Подскажите куда копать если контейнер висит в состоянии ContainerCreating?
В логи контейнера через describe

 
Banschikov
18.04.2018
08:54:34
В логи контейнера через describe
понял спасибо!

 
Andor
18.04.2018
08:54:41
Ну он из епама пришёл, что от них ещё ждать)
Идти к его начальнику

 
У тебя не техническая проблема

 
Alexey
18.04.2018
08:57:11
Я это объяснил ему самому, и он даже понял и сделал выводы. Но, мне кажется, что в глубине души он сомневвается - у него на компьютере же всё работает.

 
Banschikov
18.04.2018
08:59:30
у всех не доступно?

 
https://hub.docker.com/r/gitlab/gitlab-runner/

 
докер хаб отваливается(

 
Valentin
18.04.2018
09:04:52
докер хаб отваливается(
у многих

 
Alex Milushev
18.04.2018
09:13:34
Коллеги, тут у меня возник конфликт интересов с нашим тимлидом программистов, запустил, значит на кластере его приложение, и один из компонентов этого приложения крутится по 1 экземпляру на всех нодах. Так вот, я хз что оно там внутри делает, но ему нужно много памяти, причём желательно всей, что есть на нодах. Допустим условно есть 10 нод по 8 гигов. Он в курсе конфигурации, так вот - он их использует из расчёта, что все 8 гигов доступны его приложению. И периодически из-за OOM вылетают другие поды на этих нодах, или поды самого этого компонента. Но его поды очень даже стейтфул, так что им вылетать не нужно. Он предлагает включить своп на нодах, Сам кубелет по-умолчанию не любит свап и не запускается без спец опции
Эскалируй на менеджмент, пусть они решают, но обязательно подготовь свои доводы и варианты решения с учетом стоимости этих решений.

 
Ну если с мудаком договорится нельзя.

 
Alexey
18.04.2018
09:26:16
не, он не мудак, просто малоопытный тимлид) я ему донёс точку зрения, просто уточнил про свап - точно же его включать плохая идея)

 
Valentin
18.04.2018
09:28:07
свап - вообще плохая идея, даже вне кубика

 
Andor
18.04.2018
09:28:35
Давайте опять свапосрач начнём

 
Valentin
18.04.2018
09:28:41
во всяком случае его преднамеренное использование

 
а, было уже? извиняйте)

 
Igor
18.04.2018
09:29:46
а к чему пришли в итоге срача? два слова плз, а то я давно интересуюсь; пока решил что свап нужен, чтобы oom не приходил

 
Alexander
18.04.2018
09:32:40
посоветуйте, плз, качественное чтиво по nginx ingress

Google
 
Valentin
18.04.2018
09:32:53
как правило, срач заканчивается ничем и стороны остаются при своём

 
Юра
18.04.2018
09:33:32
посоветуйте, плз, качественное чтиво по nginx ingress
Обязательно чтиво, или видео тоже подойдёт?

 
Alexander
18.04.2018
09:34:05
Обязательно чтиво, или видео тоже подойдёт?
за все буду признателен)

 
Юра
18.04.2018
09:34:15
Вот неплохой ролик https://t.me/SysadminNotes/695

 
Alexander
18.04.2018
09:34:30
Вот неплохой ролик https://t.me/SysadminNotes/695
спасибо !

 
Banschikov
18.04.2018
09:38:48
Подскажиет, я как понимаю поды могу друг с другом по dns внутреннему общатся?

 
Valentin
18.04.2018
09:39:20
только если у тебя не фланель )

 
Banschikov
18.04.2018
09:39:57
только если у тебя не фланель )
WTF)) у меня flannel)

 
Valentin
18.04.2018
09:40:17
мыж выяснили с утра, что они не видят друг-друга

 
https://chrislovecnm.com/kubernetes/cni/choosing-a-cni-provider/ там внизу support matrix. Фича называется Mesh Networking

 
Banschikov
18.04.2018
09:40:56
Да я утром не мог уследить за диалогом

 
У меня тут гитлаб и хочу внутри кластера запустить раннер. Только вот не знаю как этот раннер сконектить с гитлабом

 


 
вот такую хрень получаю(

 
Valentin
18.04.2018
09:42:24
раннер коннектится с гитлабом по имени сервиса, либо по ингресу, либо по нод-порту

 
т.е. нет нужды в под-под коннекте

 
Banschikov
18.04.2018
09:44:15
раннер коннектится с гитлабом по имени сервиса, либо по ингресу, либо по нод-порту
во, точно. Была такая мысль. Сейчас гитлаб висит на нод порте

 
А как получается показать его раннеру?

 
Открыть ему так-же node port?

 
Andor
18.04.2018
09:45:46
Ты сам-то как в гитлаб ходишь?

Google
 
Andor
18.04.2018
09:45:54
Раннеру же надо адрес указать

 
Banschikov
18.04.2018
09:47:22
Ты сам-то как в гитлаб ходишь?
через нод порт. Причем когда регаю раннер все проходит нормально. Потом запускаю под с раннером и получаю ошибку в коннекте

 
Andor
18.04.2018
09:47:46
И ты ему тот же адрес указываешь?

 
Banschikov
18.04.2018
09:47:52
ага

 
Valentin
18.04.2018
09:48:13
погоди, ты когда регаешь раннер, ты это делаешь не из пода с раннером?

 
Banschikov
18.04.2018
09:49:06
я создаю временный раннер и получаю токен. Потом его его передаю через configMap поду с раннером

 
kubectl run -it runner-registrator —image=gitlab/gitlab-runner:latest —restart=Never — register

 
там специальный раннер есть для этого дела

 
Valentin
18.04.2018
09:50:47
чёт сложно. Не проще из самого раннера зарегать?

 
Banschikov
18.04.2018
09:51:29
да пофакту одно и тоже выходит

 
сложность в том что как их состыковать)

 
Valentin
18.04.2018
09:52:36
но ты регаешь один раннер, а потом пытаешься законнектиться другим….Там же не только в токене дело, наверное

 
Banschikov
18.04.2018
09:55:37
не, все верно. У нас так разрабы делают

 
Andor
18.04.2018
09:56:04
"регать" это лишь подключиться и получить токен

 
То что ты его потом используешь в другом инстансе - ваще пофиг

 
Должно работать

 
Banschikov
18.04.2018
09:58:36
Должно работать
да должно 100%

 
Valentin
18.04.2018
09:58:49
а этот runner-registrator по какому урлу ходит в гитлаб?

 
kvaps
18.04.2018
10:00:00
Мы на железе планиуем бгп
BGP слишком жырно для трех нод, не?

 
Banschikov
18.04.2018
10:00:47
а этот runner-registrator по какому урлу ходит в гитлаб?
Я ему отдавал nodeport и регистрация проходила. После этого создаю под с раннером . Пробовал регистратору отдать ложный url и он написал что не может сделать сделать конект и ушел в error

 
kvaps
18.04.2018
10:00:58
Либо калико либо вейв
А у нас L2 и Romana полет нормальный!

Страница 522 из 958