или ты через хостпорт хотел?

мечтал о том, как один ssh порт юзать одновременно с хостом и с гитлабом в k8s

на одном и том же ip-адресе?

на одном и том же ip-адресе?

нет, только на внешнем

мечтал о том, как один ssh порт юзать одновременно с хостом и с гитлабом в k8s

есть способ

есть способ

буду весьма благодарен за совет и инфу по реализации

ищу, ща

на хосте заводите отдельного юзера: git

на прошлой работе у нас было два ip-адреса на хосте с битбакетом и на одном из них просто работал iptables в порт 2222 (который слушала жава)

у git настраиваете https://superuser.com/questions/277382/ssh-proxycommand-on-ssh-server-side?utm_medium=organic&utm_source=google_rich_qa&utm_campaign=google_rich_qa

это будет некуберно как-то совсем

чтобы он заходил по кастомному порту gitlab

чтоб было куберно, вам лоад балансер нужен, который будет на сервис перекидывать

на прошлой работе у нас было два ip-адреса на хосте с битбакетом и на одном из них просто работал iptables в порт 2222 (который слушала жава)

у меня, увы, так не выйдет

мне думается, проще в гитлаб по кастомному порту ходить)

не, это точно херня идея :)

а какой-нибудь metallb?

два сервиса всё равно не могут делить один ip:port, если только у вас нет прокси, который умеет в протокол

есть хак у опенвпн на 443 порту, но он специфичный и по-сути там проксирование и вообще к делу мало относится :)

есть хак у опенвпн на 443 порту, но он специфичный и по-сути там проксирование и вообще к делу мало относится :)

да, я так в свое время юзал и CiscoAny Connect но тут да, другая история

а, ещё можно haproxy использовать с send proxy

по разным именам в разные ssh попадать

https://superuser.com/questions/769040/haproxy-for-ssh-name-based-proxying?utm_medium=organic&utm_source=google_rich_qa&utm_campaign=google_rich_qa

haproxy поднять в кубере, в качестве бэкендов ssh на хосте и на гитлабе (оба на не 22 порту), в кубере поднять сервис на hostport 22

ну ssh в гитлабе наверное пофиг где поднимать

смысле пофиг на каком порту

ну да

я думаю, что на сервак можно будет по ip, а в gitlab - по имени

но всё равно это изврат, я бы тупо перенёс ssh на хосте на 2222

а я бына гитлабе)

запаритесь end user'ам объяснять где в их софте порт проставлять

софт, который умеет в гит - он разнообразный

софт обычно по урлу работает

а урл включает в себя порт

просто если кроме гитлаба на хосте ещё много всего, то делать его королём стола - не очень круто

Коллеги, может подскажете... Есть несколько vm с coreos. Есть kubespray, который накатывается на эти ноды. Затыкается при ```/usr/bin/docker pull quay.io/coreos/etcd:v3.2.4``` Ругается, что не может зарезольвить хост quay.io. Делал resolvconf_mode: host_resolvconf , как написано в гайде, не помогает. Есть идеи, как лечить?

Коллеги, может подскажете... Есть несколько vm с coreos. Есть kubespray, который накатывается на эти ноды. Затыкается при ```/usr/bin/docker pull quay.io/coreos/etcd:v3.2.4``` Ругается, что не может зарезольвить хост quay.io. Делал resolvconf_mode: host_resolvconf , как написано в гайде, не помогает. Есть идеи, как лечить?

firewall?

а эти вмки сами могут резолвить?

firewall?

Если прописываю ручками nameserver 8.8.8.8 всё работает и он пуллит образ

resolvconf_mode - это не для сервера, это для подов

resolvconf_mode - это не для сервера, это для подов

https://github.com/kubernetes-incubator/kubespray/blob/master/docs/coreos.md

это вопрос?

это вопрос?

Не, я показываю, про resolvconf_mode

там нет такого

тут есть: https://github.com/kubernetes-incubator/kubespray/blob/master/docs/dns-stack.md#resolvconf_mode

The default resolvconf_mode setting of docker_dns does not work for CoreOS. This is because we do not edit the systemd service file for docker on CoreOS nodes. Instead, just use the host_resolvconf mode. It should work out of the box

resolvconf_mode configures how Kubespray will setup DNS *for hostNetwork: true PODs and non-k8s containers*

Ну не суть. Как лечить то?

вопрос мой выше видели?

настройте резолвинг на вмках

kubespray не занимается этим, он k8s разворачивает, а не подключение к интернету

а эти вмки сами могут резолвить?

Хорошая мысль, спасибо. Сейчас попробую

настройте резолвинг на вмках

а что в /etc/resolv.conf?

core@node1 ~ $ cat /etc/resolv.conf # Ansible entries BEGIN domain segmento.kuber search default.svc.segmento.kuber svc.segmento.kuber nameserver options ndots:2 options timeout:2 options attempts:2

просто если кроме гитлаба на хосте ещё много всего, то делать его королём стола - не очень круто

он у меня король) сменил порт на хосту, но буду копать дальше что-то найду - дам знать)

core@node1 ~ $ cat /etc/resolv.conf # Ansible entries BEGIN domain segmento.kuber search default.svc.segmento.kuber svc.segmento.kuber nameserver options ndots:2 options timeout:2 options attempts:2

Вот почему nameserver пустует?

он у меня король) сменил порт на хосту, но буду копать дальше что-то найду - дам знать)

если будете haproxy с send proxy протоколом использовать и если получится - отпишитесь :)

Вот почему nameserver пустует?

наверное вопрос к админу виртуалок)

Коллеги, может подскажете... Есть несколько vm с coreos. Есть kubespray, который накатывается на эти ноды. Затыкается при ```/usr/bin/docker pull quay.io/coreos/etcd:v3.2.4``` Ругается, что не может зарезольвить хост quay.io. Делал resolvconf_mode: host_resolvconf , как написано в гайде, не помогает. Есть идеи, как лечить?

Вылечил с помощью: upstream_dns_servers: - 8.8.8.8 - 8.8.4.4 в group_vars/all.yml

Приветствую коллеги. Кто-то сталкивался с проблемой того, что rbd-provisioner не может создать rbd в ceph? Что-то не получается понять из-за чего проблема.

Версию ядра проверить надо. меньше 4.5 ?

на нодах? 4.16.7-1.el7.elrepo.x86_64

stopped trying to renew lease to provision for pvc production/data-redis-cluster-0, timeout reached Вот ругается. Ранее проблемы были с RBAC - пофиксил. Сейчас непонятно что ему нужно.

подскажите плз как заставить видеть поды друг друга?

есть деплоймент с репликой пода

создается два контейнера

но они друг друга не видят

но они друг друга не видят

а как вы пытаетесь обращаться к ним?

по имени пода

nifi-7b987c497b-vvmvs

из другого пода?

да

а версия ceph какая? для Luminous, на всех ceph нодах, если ядро меньше 4.5, нужно выполнить "ceph osd crush tunables hammer". k8s использует rbd модуль для мапинга волумов, и он есть только в ядрах >4.5

пробовал так nifi-7b987c497b-vvmvs.namespace.kube.local

а версия ceph какая? для Luminous, на всех ceph нодах, если ядро меньше 4.5, нужно выполнить "ceph osd crush tunables hammer". k8s использует rbd модуль для мапинга волумов, и он есть только в ядрах >4.5

Да люминус. На всех нодах версия 4.16

пробовал так nifi-7b987c497b-vvmvs.namespace.kube.local

1-2-3-4.default.pod.cluster.local POD после namespace забыли

вам нужно сделать headless service, тогда будет днс pod.svc.namespace.kube.local. еще можете использовать statefulset, тогда имена подов будут предсказуемые

https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pods

а как сделать чтоб они были доступны по nifi-7b987c497b-vvmvs.namespace.pod.kube.local?

как вытащить содержимое днс зоны?

Всем привет

а как сделать чтоб они были доступны по nifi-7b987c497b-vvmvs.namespace.pod.kube.local?

а вы откуда пытаетесь до них достучаться?

Всем привет

Здоров

а вы откуда пытаетесь до них достучаться?

между подами пробую

между подами пробую

изнутри пода, я правильно понимаю?

да

и они должны видеть друг друга

это кластер и им нужно между собой обмениваться инфой

так по идее всё должно резолвится то через kube-dns

не видят

по 1-2-3-4.namespace.pod.kube.local видят

а по хостнейму нет

может криво работает kube-dns?

Выше же написали - сделай headless сервис который собирает эти поды. И потом уже через него получай доступ по хостнеймам

спасибо

не замеетил

попробую