ну и будут они те же кнопки штырить

только все будет секурна

Ребят, вопрос по nginx ingress (тот что кубовый), как к создаваемому конфигу ингресса добавить свой сниппет? У меня там секция с access_by_lua_file реализующая SSO через crowd. Или переписать логику и сделать через oauth-external-auth?

или задать свой шаблон конфигурации через configmap

для ingress сервиса? тогда получится что сам сервис должен иметь nginx прослойку и заботиться об авторизации. А есть, к примеру prometheus, который можно было бы так закрыть и было бы удобно

немного саморекламы. Написал ansible playbook для разворачивания rancher 2 (официальный только для 1.6) - кому интересно - пользуйтесь, пишите отзывы на github https://github.com/gorilych/rancher-ansible

для ingress сервиса? тогда получится что сам сервис должен иметь nginx прослойку и заботиться об авторизации. А есть, к примеру prometheus, который можно было бы так закрыть и было бы удобно

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/nginx-configuration/custom-template.md

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/nginx-configuration/custom-template.md

И как мне это поможет создавая ingress для prometheus?

берешь шаблон, добавляешь в него свою часть. деплоишь теперь с этим новым шаблоном в одном неймспейсе с мониторингом с привязкой к одной ноде или externalIP сервис пилишь для ингреса, в общем публикуешь как то его и удостоверяешься что он следит только за ресурсами в нужном неймспейсе. профит - у тебя ингресс, который слушает там, где ты хочешь и содержит нужную тебе конфигурацию.

Смахивает на велосипед)

ну если велосипед, значит гуглите:)

Смахивает на велосипед)

имхо прямой способ модификации

раз вам нужен ваш велосипед с sso

Более прямым, имхо, выглядит использование oauth

Просто предварительно уточнил, что в аннотациях ingress нельзя указать include (или сделать что-то подобное)

только то, что позволяет шаблон

ребятки вопрос по ETCD - есть git репа в которой хранятся конфы сервера Х и Y ... , как можно заставить ETCD дергать репу раз в Х минут и обновлять конф ( или чтобы хук коммит дергал апдэйт)

ребятки вопрос по ETCD - есть git репа в которой хранятся конфы сервера Х и Y ... , как можно заставить ETCD дергать репу раз в Х минут и обновлять конф ( или чтобы хук коммит дергал апдэйт)

ответ содержится в вопросе.

ну я тереотически понимаю что можно или пушить или пулить - а бест практис что ?

может есть какой то готовый солюшн

ну я тереотически понимаю что можно или пушить или пулить - а бест практис что ?

вам оркестрация нужна, или сам метод заливки "гит репы" в etcd?

не - куб уже есть и все почти ок ) хочу просто реюзать естд куба для заливки "гит репы"

не - куб уже есть и все почти ок ) хочу просто реюзать естд куба для заливки "гит репы"

Денис, а в гит репе что хранится? json/yml?

логичный вопрос - yml

логичный вопрос - yml

gem install https://github.com/blufor/etcd-tools curl -XPUT http://etcd/v2/keys/sync -d ttl=3600 while [ : ]; do curl http://etcd/v2/keys/sync?wait=true (cd gitrepo; git ls-files '*.yml' | xargs cat | yaml2etcd etcd_server) curl -XPUT http://etcd/v2/keys/sync -d ttl=3600 done

ни чего себе

ни чего себе

мне тоже не нравится

пошел читать репу ) спасибо

Добрый день, коллеги. Встретился со странной проблемой Helm. При попытке установить плагин говорит: Error. Git is not installed. В интернете ничего об этом не нашел. На сервере гит установлен.

какой плагин?

technosophos/helm-template Решил попробовать dapp

Ах, все, этот плагин с поздних версий поставляется вместе с Helm, отдельно ставить не надо, оказывается.

Кто нить федерации юзал?

Или хотяб палочкой тыкал?

установил кластер кубспреем (однонодный), потом на ноде изменился айпишник, как водится, все посыпалось. Есть простой способ починить?

установил кластер кубспреем (однонодный), потом на ноде изменился айпишник, как водится, все посыпалось. Есть простой способ починить?

Вернуть старый?)

kubespray reset мне случайно не поможет?

вернет ноды к исходному состоянию, плейбук то гляньте :)

kubespray reset мне случайно не поможет?

сделает wipe кластеру

исходное = деинсталирует всё что инсталлировал

вернет ноды к исходному состоянию, плейбук то гляньте :)

ну это подойдет, в принципе, если при этом кластер будет работать

и конфиг перегенерится

мне ворклоады не жалко

А тут есть эксперты оп Опеншифту?)

Посоны, кто знает что это и как это фиксить?

&{0xc420746b40 0xc420393b20 ingress-nginx nginx-ingress-controller nginx-ingress-deploy.yaml 0xc4200c9e68 3457620 false} for: "nginx-ingress-deploy.yaml": Operation cannot be fulfilled on deployments.extensions "nginx-ingress-controller": the object has been modified; please apply your changes to the latest version and try again

Всем привет, есть нубский вопрос. поднимаю с помощью vagrant и virtual box машину. У неё два сетевых интерфейса eth0 (NAT VB), eth1 (ip, который реально использую). Разворачиваю на ней kubernetes master. Делаю advertise_ip с eth1. Всё поднимается, ноды подсоединяются. Затем выполняю команду kubectl get pods —all-namespaces -o wide и вижу, что все системные поды висят на eth0_ip. Вопросы: 1. почему это плохо? 2. как можно поменять?

Ребят, подскажите. Поднял helm, сделал install stable/mongodb-replicaset при выводе get pods вижу следующее mongodb-dev-mongodb-replicaset-0 1/1 Running 0 18m mongodb-dev-mongodb-replicaset-1 1/1 Running 0 17m mongodb-dev-mongodb-replicaset-2 1/1 Running 2 16m openebs-provisioner-55ff5cd67f-qxc9v 1/1 Running 0 1d pvc-00ddbb70-591e-11e8-b467-9600000a8d06-ctrl-79ddfd59cb-pdxv5 2/2 Running 0 17m pvc-00ddbb70-591e-11e8-b467-9600000a8d06-rep-d499c4468-6ks22 0/1 Pending 0 17m pvc-00ddbb70-591e-11e8-b467-9600000a8d06-rep-d499c4468-cnl6k 0/1 Pending 0 17m pvc-00ddbb70-591e-11e8-b467-9600000a8d06-rep-d499c4468-j72l6 1/1 Running 0 17m pvc-266ca21a-591e-11e8-b467-9600000a8d06-ctrl-7c669b485-mswzd 2/2 Running 0 16m pvc-266ca21a-591e-11e8-b467-9600000a8d06-rep-6d89584fd4-5jl5l 0/1 Pending 0 16m pvc-266ca21a-591e-11e8-b467-9600000a8d06-rep-6d89584fd4-l6zf9 1/1 Running 0 16m pvc-266ca21a-591e-11e8-b467-9600000a8d06-rep-6d89584fd4-p7bs9 0/1 Pending 0 16m pvc-d5b0565c-591d-11e8-b467-9600000a8d06-ctrl-59ccccc54d-x4k7x 2/2 Running 0 18m pvc-d5b0565c-591d-11e8-b467-9600000a8d06-rep-6c6dd85b7b-2c6vp 0/1 Pending 0 18m pvc-d5b0565c-591d-11e8-b467-9600000a8d06-rep-6c6dd85b7b-lfktc 1/1 Running 0 18m pvc-d5b0565c-591d-11e8-b467-9600000a8d06-rep-6c6dd85b7b-pc758 0/1 Pending 0 18m почему здесь pvc? насколько понимаю их тут быть не должно.

В чарт посмотри

Берут инструмент, хуярят в прод, а что этот инструмент делает - не знают :/

Потому что Helm гавно

Это вам не rpm пакет накатить)

volumeClaimTemplates: - metadata: name: data spec: accessModes: [ "ReadWriteOnce" ] resources: requests: storage: 1Giесли в statefulset вот такой template, откуда возьмется этот 1 гигабайт? в смысле нет привязки ни к какому storageClass

Потому что storageClass есть по-умолчанию (для aws это gp2)

а для bm?

https://cloudyuga.guru/blog/kubernetes-storage/ — вот тут пишут, что куб будет просто искать в существующем пуле PV best match. То есть не похоже, что есть storageClass по умолчанию.

Берут инструмент, хуярят в прод, а что этот инструмент делает - не знают :/

Кто сказал про прод? Я изучаю куб, делаю все на деве, в чем проблема?

Берут инструмент, хуярят в прод, а что этот инструмент делает - не знают :/

так если в прод не зафигарить, никогда не узнаешь, что он делает :)

Не прод для слабаков

так если в прод не зафигарить, никогда не узнаешь, что он делает :)

это как с женщинами, сколько не изучай их в песочнице, в жизни все намного веселее

Кто сказал про прод? Я изучаю куб, делаю все на деве, в чем проблема?

проблема в том что ты не понимаешь что делает хельм и спрашиваешь у нас это

аналогия с женщинами не в тему

верно, я не пытался разобратся в этом чарте и спросил сразу. думал что тех (небольших) знаний о кубе мне хватит понять что оно делает, но нет

ну короче просто погрепай по слову volume по чарту который ты применил и я думаю многое сразу станет понятнее

а вот если я ставлю как helm install ( а не через клон репки чартов), как то можно все равно посмотреть какой чарт применяется ?

еще можно использовать --debug и --dry-run

не знаю правильно ли задал вопрос)))

чтобы увидеть что там за описание ресурсов в итоге

окей, спасибо

ну тоесть достаточно было сделать helm install --help

и ведь там написано To check the generated manifests of a release without installing the chart, the '--debug' and '--dry-run' flags can be combined. This will still require a round-trip to the Tiller server.

?

и еще из полезного helm template --help

В общем сделал в лоб ❗️Прописал Retain Policy в сам StorageClass (((

Так именно так и надо, как ещё защититься если девы будут pvc и могут что угодно там прописать

Вот я и говорю, не так все просто) в принципе Retain для StorageClass Решил мою проблему, главное чтобы мусор не плодился, pvc по сути только для прод стейдж, остальное живет в памяти

Сделайте алерт прометеусом, k8s slack или ещё как на unclaimed pv

Да, чтото такое и буду пилить

Ребят, вопрос по nginx ingress (тот что кубовый), как к создаваемому конфигу ингресса добавить свой сниппет? У меня там секция с access_by_lua_file реализующая SSO через crowd. Или переписать логику и сделать через oauth-external-auth?

Там через конфигмап есть несколько extension points, типа вот этот ключ задаёшь и в него кусок конфига нжинкс который вставится в блок сервера, location, ещё какие то - гляньте документацию. Это чтобы не делать совсем кастомныц конфиг нжинкс у ингресса

Там через конфигмап есть несколько extension points, типа вот этот ключ задаёшь и в него кусок конфига нжинкс который вставится в блок сервера, location, ещё какие то - гляньте документацию. Это чтобы не делать совсем кастомныц конфиг нжинкс у ингресса

Оу, спасибо огромное! Обязательно посмотрю

Такой вопрос. На 2-х серверах настроен плавающий айпишник. Как лучше всего натравить на него порт из сервиса? будет ли работать externalIP?

скорее всего будет, сервис это же vip

при переезде айпишника kube-proxy сразу перепишет iptables?

Народ, есть у вас какие то наработки по такой штуке: Хочу чтобы пользователь с правами на уровне кластера имел возможность создавать Namespace, и соответственно быть в них админом по дефолту, но не иметь возможности управлять другими Namespace, не созданные им.

?

насколько я помню он и так на всех нодах поддерживает iptables со всеми externalIP

кароче, нужно пробовать)

по идее даже если каким-то чудом на ноду придет пакет с externalIP чужой ноды в том же кластере, он все равно уйдет в нужный под)

так что попробуй, да

Народ, есть у вас какие то наработки по такой штуке: Хочу чтобы пользователь с правами на уровне кластера имел возможность создавать Namespace, и соответственно быть в них админом по дефолту, но не иметь возможности управлять другими Namespace, не созданные им.

Дайте пользователю возможность запускать джоб с параметром 'namespace-name', который будет админскими правами добавлять неймспейс и давать пермишшны на вызывающего пользователя. Пользователю права на кластер не давайте.

Дайте пользователю возможность запускать джоб с параметром 'namespace-name', который будет админскими правами добавлять неймспейс и давать пермишшны на вызывающего пользователя. Пользователю права на кластер не давайте.

Ды вот всетаки хотелось бы это как то средствами кубика добится, без костылей, костыли можно всегда нагородить :) А если я создам SA в default и дам ему права создавать NS, то в этом NS этот SA будет иметь полные права?

Не будет

Не будет

Печалько, по сути это и надо

Такой вопрос. На 2-х серверах настроен плавающий айпишник. Как лучше всего натравить на него порт из сервиса? будет ли работать externalIP?

Будет