@kubernetes_ru
Banschikov21.04.2018
08:41:12
08:41:12
Подскажите пожалуйста. Иннгрес контроллер нужно выставлять как сервис?
Aleksey21.04.2018
08:54:23
08:54:23
Нужно
Dmitrii <freehck>21.04.2018
08:58:18
08:58:18
GoogleDmitrii <freehck>21.04.2018
08:59:01
08:59:01
В общем, народ, веселуха. ssh-туннелем проброс сделал. При запросе 127.0.0.1:8001/ui получаю в ответ вместо интерфейса dashboard какой-то json. Это нормально?
Banschikov21.04.2018
09:01:15
09:01:15
Мда, зачем читать исходный вопрос, в самом-то деле? :)
У меня телега тормозит. Сообщения выше плохо подгружаются
Stanislav21.04.2018
09:08:51
09:08:51
Актуальная дока
Dmitrii <freehck>21.04.2018
09:09:22
09:09:22
Нашёл, спс.
http://localhost:8001/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/
Вот же блин придумали. )
помогло
GoogleDmitrii <freehck>21.04.2018
09:16:05
09:16:05
Ммм, крутотенечка. Я могу yaml-ы прямо из UI загружать.
Let Eat21.04.2018
09:31:24
09:31:24
Нужно
не всегда. оно вполне может быть запущено как daemonset с host network, тогда сервиса для него заводить не нужно
Sergey21.04.2018
09:53:36
09:53:36
Banschikov21.04.2018
11:07:11
11:07:11
под для резолва адресов стучатся на dns кубера?ъ
Sergey21.04.2018
11:08:46
11:08:46
kubedns
Mikhail21.04.2018
11:09:00
11:09:00
в общем случае да. в частном - что написано в /etc/resolv.conf
Sergey21.04.2018
11:10:09
11:10:09
как я понимаю все поды в пределах одного кластера общаются через kubedns+clusterAPI
Mikhail21.04.2018
11:11:02
11:11:02
если это написано в /etc/resolv.conf в контейнере )
Sergey21.04.2018
11:11:26
11:11:26
?
Mikhail21.04.2018
11:12:17
11:12:17
что значит нужные?
Banschikov21.04.2018
11:13:09
11:13:09
192.168.0.1 git.example.com
Mikhail21.04.2018
11:16:24
11:16:24
192.168.0.1 git.example.com
https://stackoverflow.com/questions/37166822/is-it-a-way-to-add-arbitrary-record-to-kube-dns - например внешний сервис. или вот https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/#example-stub-domain
Valentin21.04.2018
11:17:11
11:17:11
или stubnameserver типо того чтото
Banschikov21.04.2018
11:19:39
11:19:39
вообще как подскажите как решить следующую проблему. К примеру у меня открыт NodePort у сервиса и все поды в пределах одной ноды-воркера видят его. Но сроит поду развернутся на ноде-воркере-2, сразу перестает видеть его. Не пойму, как это решить можно
Mikhail21.04.2018
11:21:00
11:21:00
вообще как подскажите как решить следующую проблему. К примеру у меня открыт NodePort у сервиса и все поды в пределах одной ноды-воркера видят его. Но сроит поду развернутся на ноде-воркере-2, сразу перестает видеть его. Не пойму, как это решить можно
для начала вам надо понять резолвится сервис или нет с другой ноды. Если да - проверить правильно ли работает kube-proxyBanschikov21.04.2018
11:21:56
11:21:56
Я проверил и выяснил что нет сетевого взаимодействия вообще. Я там по ip-адресом настраивал
GoogleMikhail21.04.2018
11:23:08
11:23:08
не получается сходить на сервис адрес с другой ноды?
Banschikov21.04.2018
11:25:07
11:25:07
Да. Когда все поды в пределах одной воркер ноды располагаются, то нормально работает. А когда разбросаны поразным нодам, то тогда не работает. Все вено
Mikhail21.04.2018
11:25:46
11:25:46
ну тогда у вас не отрабатывает kube-proxy который делает nat (скорее всего)
Sergey21.04.2018
11:25:57
11:25:57
как альтернатива юзать nodeselector
Banschikov21.04.2018
11:28:09
11:28:09
Sergey21.04.2018
11:29:16
11:29:16
и уж точно не по феншую всему подряд давать clusterip externalip)
Let Eat21.04.2018
11:30:13
11:30:13
вообще как подскажите как решить следующую проблему. К примеру у меня открыт NodePort у сервиса и все поды в пределах одной ноды-воркера видят его. Но сроит поду развернутся на ноде-воркере-2, сразу перестает видеть его. Не пойму, как это решить можно
зачем вы поды шлете на nodePort? шлите на clusterIPBanschikov21.04.2018
11:31:51
11:31:51
зачем вы поды шлете на nodePort? шлите на clusterIP
У меня поды почему-то его не видят. Я задавал тут вчера вроде этот вопрос, но ответа тае и не получил, или я не понял этот ответ. Вообще было бы идеально внутри кластера использовать clusterIPLet Eat21.04.2018
11:32:32
11:32:32
clusterIP для этого и создан, слать поды на ноды через nodePort совсем неправильно (но можно :) )
Sergey21.04.2018
11:32:50
11:32:50
У меня поды почему-то его не видят. Я задавал тут вчера вроде этот вопрос, но ответа тае и не получил, или я не понял этот ответ. Вообще было бы идеально внутри кластера использовать clusterIP
а вы в той подсети даете адреса? у вас дефолтная конфигурация kubeadm init?Banschikov21.04.2018
11:33:21
11:33:21
clusterIP для этого и создан, слать поды на ноды через nodePort совсем неправильно (но можно :) )
Да это конечно удобней на много. Согласен и правильное решение.а вы в той подсети даете адреса? у вас дефолтная конфигурация kubeadm init?
kubespray
Сетевой плагин CalicoSergey21.04.2018
11:35:21
11:35:21
а причем тут плагин, я говорю если у вас не видит тот адрес или не назначается, значит у вас сеть на этапе инициализации кластера не так настроена, какой адрес вы выдаете
Banschikov21.04.2018
11:36:05
11:36:05
Sergey21.04.2018
11:37:24
11:37:24
kubeadm init —pod-network-cidr=10.254.0.0/16 —service-cidr=10.254.0.0/16 типа такого
Banschikov21.04.2018
11:40:36
11:40:36
kubeadm init —pod-network-cidr=10.254.0.0/16 —service-cidr=10.254.0.0/16 типа такого
kube_service_addresses: 10.233.0.0/18
kube_pods_subnet: 10.233.64.0/18Sergey21.04.2018
11:40:57
11:40:57
а какие адреса вы даете поду
Banschikov21.04.2018
11:42:14
11:42:14
Вот пример адреса пода: 10.233.94.110
Вот пример адреса сервиса ClusterIP 10.233.54.48
GoogleBanschikov21.04.2018
11:58:51
11:58:51
да еще раз перепроверил. Зашел с пода и пинганул сервис по ClusterIP и неработает. Я правильно понимаю что это ненормально и присутсвует ошибка конфигурировании сетевой подсистемы?
zigmund21.04.2018
12:55:17
12:55:17
да еще раз перепроверил. Зашел с пода и пинганул сервис по ClusterIP и неработает. Я правильно понимаю что это ненормально и присутсвует ошибка конфигурировании сетевой подсистемы?
ClusterIP - это сервис. Абстракция, которая содержит инструкции для iptables, оно и не должно пинговатьсяПоды должны
Banschikov21.04.2018
12:56:29
12:56:29
ClusterIP - это сервис. Абстракция, которая содержит инструкции для iptables, оно и не должно пинговаться
Тогда немогу понять, как же поды общаются друг с другом?zigmund21.04.2018
13:11:25
13:11:25
PodA - > ServiceB:port - > PodsB:targetPort
Это логическая цепочка, а по сути сервис - это не прокся или роутер, а набор правил, как пойдёт трафик
Ну и ещё сервис - это дискавери
Anton21.04.2018
13:43:08
13:43:08
ClusterIP - это сервис. Абстракция, которая содержит инструкции для iptables, оно и не должно пинговаться
кстати, почему "не должно"?zigmund21.04.2018
13:44:13
13:44:13
кстати, почему "не должно"?
ну если сервисом прокинуть icmp (такое вообще возможно?), то пинги будут долетать до подовAnton21.04.2018
13:45:21
13:45:21
насколько я помню, в iptables просто reject icmp стоит. То есть вот вопрос, а зачем.
не могу сейчас найти, может перепутал с чем-то
Aleksandr21.04.2018
14:45:54
14:45:54
Поставил calico с выключеным ipip. Подам айпишки выдаются и до тех айпишек можно достучатся.
Но появился нюанс, если стучать на clusterip - то говорит network unrechable
в iptables - правила есть для кластерных ипов
может кто-то обладает даром ясновидения и знает что я упускаю? =)
Andor21.04.2018
14:48:13
14:48:13
tcpdump?
GoogleDmitrii <freehck>21.04.2018
16:47:40
16:47:40
Ребята, а как в Kubertenes организуется аггрегация логов? Есть готовые механизмы? Или может быть рецепты для сращивания с ELK?
Sergey21.04.2018
16:49:33
16:49:33
можно и fluentd
гугол в помощь
Nik21.04.2018
16:51:50
16:51:50
Ребята, а как в Kubertenes организуется аггрегация логов? Есть готовые механизмы? Или может быть рецепты для сращивания с ELK?
Советую filebeat, можно как daemonset прикрутить, можно на хосты. Можно side-car для нужных подов.Dmitrii <freehck>21.04.2018
16:52:37
16:52:37
Советую filebeat, можно как daemonset прикрутить, можно на хосты. Можно side-car для нужных подов.
Спасибо. Главное, что надо было понять — что в кубере нет этого "из коробки". Сам ELK у меня уже поднят и работает — значит, буду прикручивать к нему. Спасибо.Nik21.04.2018
16:57:29
16:57:29
Спасибо. Главное, что надо было понять — что в кубере нет этого "из коробки". Сам ELK у меня уже поднят и работает — значит, буду прикручивать к нему. Спасибо.
Есть два важных момента: - можно только нужных контейнеров логи забирать, указывая path с регэкспом.
- второе, нужно не забыть про symlinks:true , потому что в /var/log/containers симлинки)Let Eat21.04.2018
17:07:07
17:07:07
да еще раз перепроверил. Зашел с пода и пинганул сервис по ClusterIP и неработает. Я правильно понимаю что это ненормально и присутсвует ошибка конфигурировании сетевой подсистемы?
не пингуйте, проверяйте curl на clusterIP:port (порт при этом указан в сервисе и может отличаться от номера порта на подах)
Alex Milushev21.04.2018
17:17:40
17:17:40
привет, поднял тестовый стенд, но kube-proxy не может вытащить данные для работы, вот что в логах на всех kube-proxy:
E0421 17:17:12.577220 1 reflector.go:205] k8s.io/kubernetes/pkg/client/informers/informers_generated/internalversion/factory.go:86: Failed to list *core.Service: Unauthorized
E0421 17:17:12.577624 1 reflector.go:205] k8s.io/kubernetes/pkg/client/informers/informers_generated/internalversion/factory.go:86: Failed to list *core.Endpoints: Unauthorized
кто знает как победить?
Mikhail21.04.2018
17:19:46
17:19:46
привет, поднял тестовый стенд, но kube-proxy не может вытащить данные для работы, вот что в логах на всех kube-proxy:
E0421 17:17:12.577220 1 reflector.go:205] k8s.io/kubernetes/pkg/client/informers/informers_generated/internalversion/factory.go:86: Failed to list *core.Service: Unauthorized
E0421 17:17:12.577624 1 reflector.go:205] k8s.io/kubernetes/pkg/client/informers/informers_generated/internalversion/factory.go:86: Failed to list *core.Endpoints: Unauthorized
https://github.com/kubernetes/kubernetes/blob/master/cluster/addons/kube-proxy/kube-proxy-rbac.yaml - проверьте rbac?Alex Milushev21.04.2018
17:22:11
17:22:11
сервис аккаунта не было, создал, ща буду посмотреть
все то же самое
при попытке применить этот yaml выдает:
error: error validating "addons/kube-proxy-rbac.yaml": error validating data: [ValidationError(ClusterRoleBinding): unknown field "apiGroup" in io.k8s.api.rbac.v1beta1.ClusterRoleBinding, ValidationError(ClusterRoleBinding.roleRef): missing required field "apiGroup" in io.k8s.api.rbac.v1beta1.RoleRef]; if you choose to ignore these errors, turn validation off with —validate=false
Andor21.04.2018
17:25:52
17:25:52
Это на какой версии?
Sergey21.04.2018
17:26:12
17:26:12
а откуда куда данные хотите вытаскивать
Alex Milushev21.04.2018
17:26:45
17:26:45
1.10.1
хм, применил еще раз и применилось
но прокси так и не работает
:(
ща перегенерю сертификаты, кажется нашел, у меня для kube-proxy в сертификате common_name=system:kube-proxy
Открыть в Telegram