@kubernetes_ru
Nick14.05.2018
15:09:21
15:09:21
Коллеги. Вроде уже был вопрос.
Разворачиваю k8s через kops на aws. Хочу использовать public hosted zone.
Пишу в kops
--dns private --dns-zone XXXX --topology private --networking flannel --bastion
По факту развертки кластера, достук по ssh к бастиону есть, а к доступа нетAPI нет.
>telnet api.cluster.domain.ru 443
>Connection closed by foreign host.
Что сделал не так?
Или это баг когда бастион сразу с dns-zone не разворвачивается правильно? Видел такой в тикетах вроде…
Stanislav14.05.2018
16:19:02
16:19:02
А зачем телнетом в TLS порт ломиться?
Andor14.05.2018
16:20:00
16:20:00
ну может по памяти может хендшейк сделать
GoogleStanislav14.05.2018
16:20:05
16:20:05
Оно от тебя хендшейка TLS не получило и потому выкинуло
Dmytro14.05.2018
16:23:32
16:23:32
Ребята, всем доброго времени суток!
ПОдскажите, пожалуйста, куда копать и что почитать, чтобы добиться следующего сценария:
Есть кластер k8s на гугле (GKE). Нужно создать деплоймент приложения с двумя инстансами приложения - active и standby (warm standby то бишь). Надо реализовать следующий сценарий: в случае фейла активного инстанса, нужно послать определенный REST на standby-инстанс, сделать его тем самым active, и тем временем перезапускать уже зафейленый инстанс и после запуска - пометить его как standby.
Кто подскажет, в сторону чего стоит посмотреть для реализации подобного сценария?
можно сделать с помощью сервиса и лейблов у реплик деплоймента или стейтфулсетахм..просто не совсем понимаю, как правильно использовать. вот есть у меня приложенька, у нее конфиг 40 строк, среди них есть пароли от баз
можно в entrypoint контейнера генерировать этот конфиг из переменных окруженияКоллеги. Вроде уже был вопрос.
Разворачиваю k8s через kops на aws. Хочу использовать public hosted zone.
Пишу в kops
--dns private --dns-zone XXXX --topology private --networking flannel --bastion
По факту развертки кластера, достук по ssh к бастиону есть, а к доступа нетAPI нет.
>telnet api.cluster.domain.ru 443
>Connection closed by foreign host.
Что сделал не так?
> --dns private
> Хочу использовать public hosted zone.
тут точно не опечатка?Nick14.05.2018
16:32:30
16:32:30
> --dns private
> Хочу использовать public hosted zone.
тут точно не опечатка?
Вроде же можно одновременно использовать?Брал отсюда
https://github.com/kubernetes/kops/blob/master/docs/aws.md
строчка
kops create cluster --dns private --dns-zone ZABCDEFG $NAME
ZABCDEFG в моем случа это public hosted zone в aws’е
Главное все работает, резолвится как надо и т.д., но на 443 к api не достучатся ниоткуда.
Dmytro14.05.2018
16:35:48
16:35:48
так а в route53 появилась запись указывающая на ELB апи? что говорит ELB - есть инстансы in service?
Nick14.05.2018
16:36:34
16:36:34
так а в route53 появилась запись указывающая на ELB апи? что говорит ELB - есть инстансы in service?
запись есть. в сервисе 0 из 1 т.к. сам elb по 443 не может достучатсяDmytro14.05.2018
16:37:01
16:37:01
если резолвится то значит поддерживается --dns private, я с копсом только недели 2 работаю - пока еще не до конца понимаю как его флаги транслируеются в то что выйдет в итоге
запись есть. в сервисе 0 из 1 т.к. сам elb по 443 не может достучатся
мм в смысле сам ELB не может по 443 достучаться до мастер ноды?Nick14.05.2018
16:37:40
16:37:40
Вроде как вышло все правильно. Такое чувство что сам master не запустился как надо.
Dmytro14.05.2018
16:38:05
16:38:05
а если с бастиона телнетом на 443 и приват айпи мастера - что выходит?
GoogleNick14.05.2018
16:38:30
16:38:30
мм в смысле сам ELB не может по 443 достучаться до мастер ноды?
Я ну как я понимаю ELB ставить в статус по Health Check’у же. В health check стоит targer 443Aleksandr14.05.2018
16:38:59
16:38:59
я пробовал, можно получать по L2 (DHCP), либо роутить через BGP. у меня раздеплоен вариант с L2
С l2 айпишники на одной ноде только, Если она сляжет, то траф в никуда пойдет. Вы это как-то решали?Nick14.05.2018
16:40:38
16:40:38
а если с бастиона телнетом на 443 и приват айпи мастера - что выходит?
Телнета там нет, но curl просто виснет на тайм-аут. Хотя с внешней сети curl пишет Server aborted the SSL handshake
bebebe14.05.2018
16:42:18
16:42:18
С l2 айпишники на одной ноде только, Если она сляжет, то траф в никуда пойдет. Вы это как-то решали?
Оно должно переехат на другую ноду же в том же L2 сегментеbebebe14.05.2018
16:44:19
16:44:19
$ kubectl -n metallb-system get pods
NAME READY STATUS RESTARTS AGE
controller-6579c56c5f-qs2x8 1/1 Running 1 9d
speaker-479zt 1/1 Running 3 13d
speaker-d2xbn 1/1 Running 3 13d
speaker-mhkxw 1/1 Running 5 13d
Dmytro14.05.2018
16:47:10
16:47:10
Телнета там нет, но curl просто виснет на тайм-аут. Хотя с внешней сети curl пишет Server aborted the SSL handshake
curl по айп мастера с бастиона висит по таймауту? значит надо смотреть логи мастера, он не поднялсяbebebe14.05.2018
16:47:24
16:47:24
С l2 айпишники на одной ноде только, Если она сляжет, то траф в никуда пойдет. Вы это как-то решали?
в этом теряется суть самого loadbalancer'aNick14.05.2018
16:48:14
16:48:14
curl по айп мастера с бастиона висит по таймауту? значит надо смотреть логи мастера, он не поднялся
глянул screenshot и лог загрузски через ec2 - все ок типа. На скрине login форма. Мистика блинDmytro14.05.2018
16:49:28
16:49:28
так а в логах кублета что?
Nick14.05.2018
16:49:48
16:49:48
curl по айп мастера с бастиона висит по таймауту? значит надо смотреть логи мастера, он не поднялся
Сейчас еще раз log глянул. Мастер туда ssh ключи выдал.Сорян. Логи с ключами с бастина случайно посмотрел.
Aleksandr14.05.2018
16:52:27
16:52:27
в этом теряется суть самого loadbalancer'a
Суть не теряется, нужно два ip но на разных тачках. К примеру если мне нужно обновить ингрес, то я смогу снять траф по очередно с серверов и обновить без простояDmytro14.05.2018
16:53:07
16:53:07
Aleksandr14.05.2018
16:53:27
16:53:27
Там есть вариант с bgp который это решает, но надо в дц договариваться(
bebebe14.05.2018
16:53:30
16:53:30
Суть не теряется, нужно два ip но на разных тачках. К примеру если мне нужно обновить ингрес, то я смогу снять траф по очередно с серверов и обновить без простоя
вы допускаете что metalb может переносить ip адрес в L2 сегменте с машины на машину?GoogleNick14.05.2018
16:54:06
16:54:06
ну да, а что ссш на мастер тоже не работает?
он же в private сети. Я вроде прокинул через sec.groups чтобы на ssh доступ был с 0.0.0.0. но пока не добрался.надо еще внешний адрес выдать
Dmytro14.05.2018
16:54:45
16:54:45
так надо зайти на ссш на бастион а оттуда на мастер
затем бастион же и нужен
Aleksandr14.05.2018
16:55:02
16:55:02
вы допускаете что metalb может переносить ip адрес в L2 сегменте с машины на машину?
Не может, Просто думал может кто-то какое-то решение придумал, решил спроситьDmytro14.05.2018
16:55:28
16:55:28
не нужно мастеру выдавать публичный айпи и его группы (копсом сгенерированные) трогать
Nick14.05.2018
16:55:33
16:55:33
но он не заходит на мастер из-за ключей вроде. забыл уже. ща чекун еще раз
bebebe14.05.2018
16:56:13
16:56:13
Не может, Просто думал может кто-то какое-то решение придумал, решил спросить
а почему вы так решили? может я что в документации не усмотрел?Aleksandr14.05.2018
17:00:07
17:00:07
а почему вы так решили? может я что в документации не усмотрел?
Я не так выразился. Он не может выдать два ip на разные машины. И в случае падения одной машины он не может перенести её адрес на другую рабочуюDmytro14.05.2018
17:02:09
17:02:09
хмм я думал в этом и смысл metallb - он двигает айпишник с ноды на ноду по необходимости
Andor14.05.2018
17:02:45
17:02:45
почему не сможет?
Nick14.05.2018
17:02:51
17:02:51
не нужно мастеру выдавать публичный айпи и его группы (копсом сгенерированные) трогать
Почему-то на бастионе не было ключа для ssh чтобы попасть на масте. Закинул туда сам ключ. Попал на мастер по sshхмм я думал в этом и смысл metallb - он двигает айпишник с ноды на ноду по необходимости
Спасиб. Теперь яснее стало, что кублет не запустилсяDmytro14.05.2018
17:05:23
17:05:23
Почему-то на бастионе не было ключа для ssh чтобы попасть на масте. Закинул туда сам ключ. Попал на мастер по ssh
конечно там ключа не должно быть, надо форвардить агент ssh -A ...bebebe14.05.2018
17:06:10
17:06:10
Я не так выразился. Он не может выдать два ip на разные машины. И в случае падения одной машины он не может перенести её адрес на другую рабочую
т.е. вы имеете в виду, что на машине не может быть два адреса из одного сегмента с одной и тоже маской подсети, вы про это?Nick14.05.2018
17:06:21
17:06:21
конечно там ключа не должно быть, надо форвардить агент ssh -A ...
ааа, точно. Чет я ступил уже да.
Ну в общем вот:
E0514 17:03:26.980496 5539 container_manager_linux.go:583] [ContainerManager]: Fail to get rootfs information unable to find data for container /
)))Теперь хотя бы чуть-чуть ясно в чем дело…Хотя блин в мульти-мастере оно работало “из коробки"
Dmytro14.05.2018
17:08:19
17:08:19
что-то не так настроено - надо дальше ковырять логи кублета. Я бы попробовал kops delete и заново создать кластер по примерам из доки включая только те флаги которые реально нужны
прежде чем ковырять
GoogleNick14.05.2018
17:12:51
17:12:51
что-то не так настроено - надо дальше ковырять логи кублета. Я бы попробовал kops delete и заново создать кластер по примерам из доки включая только те флаги которые реально нужны
Да я вот именно так и делал уже раз 5. Кроме того, что в доке мульти-мастер часто, а один мастер делал.
Ладно сейчас пересоздам с нуля на один мастер без ключей вообще. Проверить как оно заведется. Там буду добавлять по одному с kops updateСпасибо за помощь. А то бывает уже после 5 часов ковырялок что-то упускаешь.
Кстати, тут уже писал, но чат реально самый полезный, что я видел за все года в телеграмме.
Dmytro14.05.2018
17:18:25
17:18:25
стараемся ?
Andriy14.05.2018
20:36:16
20:36:16
Здравствуйте
Как сделать доступ к internal load balancer с другой subnetwork? Есть у кого-то опыт с этим? на gcp kubernetes
Azzam14.05.2018
20:44:11
20:44:11
вечер добрый всем
Anatolii15.05.2018
07:08:42
07:08:42
День добрый! Скажите кто-то использовал minikube в продакшине?
Andor15.05.2018
07:09:06
07:09:06
а ты хорош
Banschikov15.05.2018
07:10:06
07:10:06
?
bebebe15.05.2018
07:10:34
07:10:34
День добрый! Скажите кто-то использовал minikube в продакшине?
Minikube is a tool that makes it easy to run Kubernetes locally. Minikube runs a single-node Kubernetes cluster inside a VM on your laptop for users looking to try out Kubernetes or develop with it day-to-day.Anatolii15.05.2018
07:12:18
07:12:18
А есть возможность поставить Kubernetes на одну машину, но не через minikube?
bebebe15.05.2018
07:12:20
07:12:20
Anatolii каков ваш workload?
Vasilyev15.05.2018
07:13:22
07:13:22
А есть возможность поставить Kubernetes на одну машину, но не через minikube?
Где планируете размещаться - бареметал или облачный провайдер?bebebe15.05.2018
07:13:33
07:13:33
А есть возможность поставить Kubernetes на одну машину, но не через minikube?
да, есть несколько способов, можно и миникубом, но советую указать драйвер none, что бы в хостовой системе запустились докер контейнеры с k8s стаффомэто уменьшит оверхед
Anatolii15.05.2018
07:14:16
07:14:16
Anatolii каков ваш workload?
Мне нужно чтобы крутилась база на MySQL и маленькое приложение на Node.JS которое имеет API для работы с базой.Banschikov15.05.2018
07:15:27
07:15:27
Мне нужно чтобы крутилась база на MySQL и маленькое приложение на Node.JS которое имеет API для работы с базой.
Можешь каким нибуть kubeadm или kubespray побыстрому развернуть одну машинку с k8s. И разреши на ней запуск подовbebebe15.05.2018
07:15:40
07:15:40
Мне нужно чтобы крутилась база на MySQL и маленькое приложение на Node.JS которое имеет API для работы с базой.
single node k8s вам поможет только в том случае, если вы хотите в последствии переехать на k8s инфру и готовите helm чарт или иной вид деплоя своего приложения
если у вас нет таких целей прямо сейчас, то советую использовать что-то в духе docker-compose и прочего.Anatolii15.05.2018
07:16:43
07:16:43
single node k8s вам поможет только в том случае, если вы хотите в последствии переехать на k8s инфру и готовите helm чарт или иной вид деплоя своего приложения
если у вас нет таких целей прямо сейчас, то советую использовать что-то в духе docker-compose и прочего.
Как раз таки нужно настроить автоматический деплой из GitLab.Googlebebebe15.05.2018
07:17:29
07:17:29
Как раз таки нужно настроить автоматический деплой из GitLab.
именно в k8s? автоматический деплой и k8s никак не связаны, деливерить вы можете все тем же docker-composeAnatolii15.05.2018
07:21:43
07:21:43
именно в k8s? автоматический деплой и k8s никак не связаны, деливерить вы можете все тем же docker-compose
А docker-compose поддерживает запуск нескольких докер имеджей, чтобы один имидж работал, а второй в это время обновлялся - как в k8s?Anton15.05.2018
07:22:28
07:22:28
@docker_ru
И работают не образы, а контейнеры.
bebebe15.05.2018
07:22:42
07:22:42
А docker-compose поддерживает запуск нескольких докер имеджей, чтобы один имидж работал, а второй в это время обновлялся - как в k8s?
да, вы можете указать несколько сервисов, запустить их, далее выполнить docker-compose restart frontend - перезапустится только фронтендAnatolii15.05.2018
07:23:25
07:23:25
Alexander15.05.2018
07:48:20
07:48:20
Nick15.05.2018
07:58:00
07:58:00
Глючит в общем как-то kops, но не могу понять на каком шаге. Если совсем без ключей развернуть, то все работает. Пока не смог выявить зависимость какие ключи конфликтуют.
Открыть в Telegram