ощущение что вы хотите менять параметры на лету, может какой-нибудь zookeeper/etc/consul для этого лучше подойдёт, чем кормить эти параметры в хельм?

К сожалению нет. Тут именно как и описанно в таске.

короче есть у меня деплоймент с replicas: 4 и рядом с ним я добавляю HorisontalPodAutoscaler с min: 2, max: 6

оно будет переключаться на 4 при каждом деплое, да?

есть пользователи skipper ingress controller? https://opensource.zalando.com/skipper/kubernetes/ingress-usage/ начал гуглить по поводу canary и весов для апстримов, чтобы отдавать маленький процент входящих запросов, а не долями по репликам, наткнулся на эту реализацию

кто нибудь сталкивался при деплое из гитлаба с помощью хелма? User "system:serviceaccount:zalupa:default" cannot create pods/portforward in the namespace "kube-system"

у самого service accout админские права на свой namespace

имя так себе

ты делаешь helm init?

Тебе нужно засунуть туда тиллер и указывать —tiller-namespace или переменную TILLER_NAMESPACE

ты делаешь helm init?

Делал и с ним и без него

похуй

helm через port-foward общается с tiller?

helm через port-foward общается с tiller?

угу

Тебе нужно засунуть туда тиллер и указывать —tiller-namespace или переменную TILLER_NAMESPACE

Так tiller у меня в kube-system, его надо в каждый namespace Отдельно ставить?

Вообще не надо, но это хороший способ ограничить его сферу деятельности отдельным неймспейсом

А если не надо, то как получить к нему доступ?

разрешить port-forward в kube-system?

А если не надо, то как получить к нему доступ?

расширить права юзера на неймспейс с тиллером

А если не надо, то как получить к нему доступ?

https://kubernetes.io/docs/admin/authorization/rbac/

расширить права юзера на неймспейс с тиллером

Ну это совсем не канает, это же kube-system

неужели к нему нельзя обратить по api как то? только доступ к NS ?

Ну это совсем не канает, это же kube-system

необязательно ему давать права на создание и удаление подов. выше верно про порт-форвард права писали

клиент хельма при старте лезет в тиллер через туннель, без этого никак не обойтись, увы

печаль беда(

А кто напомнит где посмотреть RBAC лог?

можно сделать отдельный неймспейс под тиллер и все, успех будет

Чтобы увидеть какие права запрашиваются

можно сделать отдельный неймспейс под тиллер и все, успех будет

под каждый проект?*

ааа, понял

и полный доступ дать, как вариант

под каждый проект?*

нет жи. просто отдельный нс для тиллера и дать туда пермишен на порт-форвард

и полный доступ дать, как вариант

нет, не полный. только на порт-форвард и, кажется, гет подов

нет, не полный. только на порт-форвард и, кажется, гет подов

понял, да, обдумаю это, спасибо!

понял, да, обдумаю это, спасибо!

велкам!

велкам!

Зороботоло! Может кому пригодится: kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: tiller-ops rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "watch"] - apiGroups: [""] resources: ["pods/portforward"] verbs: ["*"] kubectl create clusterrolebinding thepit-tiller-ops —clusterrole=tiller-ops —serviceaccount=namespace:default —namespace=tiller

почитал в Kubernetes in action главу про HPA и там тоже этот вопрос не раскрыт

короче есть у меня деплоймент с replicas: 4 и рядом с ним я добавляю HorisontalPodAutoscaler с min: 2, max: 6

оно будет переключаться на 4 при каждом деплое, да?

вопрос точнее в том, что с этим делать например у меня в деплойменте было 2 реплики, а HPA мне их поднял до 6 вот я обновляю например сервис и оно мне снова делает 2 и какое-то время 2 штуки и будет висеть же? как сделать чтобы сохранялось старое значение?

Какие есть варианты шаблонизации деплоя, кроме Helm?

тысячи их

тысячи их

И одновременно нихуя)

Все гавно, как не посмотри

:'(

вот зачем ты сразу по больному?

Все гавно, как не посмотри

Кроме мочи.

Я даже подумываю реально чтото свое писать, ибо это вообще треш какой то

чтоб было 1001

ты обнаружил в них "критический недостаток"?

ты обнаружил в них "критический недостаток"?

Да, ими совершенно невозможно пользоваться и неудобно автоматизировать

dapp?

Опять же, всегда можно пулреквестить

вопрос точнее в том, что с этим делать например у меня в деплойменте было 2 реплики, а HPA мне их поднял до 6 вот я обновляю например сервис и оно мне снова делает 2 и какое-то время 2 штуки и будет висеть же? как сделать чтобы сохранялось старое значение?

выяснил экспериментом: при применении манифеста деплоя стопудов будет применено то значение replicas которое указано, так что надо делать deployment.spec.replicas == HPA.spec.maxReplicas и всё будет ок

во время деплоя если у тебя есть нагрузка, то будет много реплик, но HPA потом отдаунскейлит

ну то есть поведение очевидное

Спасибо

коллеги кто нибудь знает как в ingress запроксировать tcp в данном случаи redis ?

https://github.com/kubernetes/contrib/tree/master/ingress/controllers/nginx/examples/tcp ?

и для UDP https://github.com/kubernetes/contrib/tree/master/ingress/controllers/nginx/examples/udp

что то я самого kind: ingress там вообще не вижу

что то я самого kind: ingress там вообще не вижу

правильно, потому что ингресс очень специфичная штука) по сути это балансер который по некоторым правилам (http host:port, http path) определяет куда пустить запрос. и вот таки куда он его пустит, если это не http? ?

правильно, потому что ингресс очень специфичная штука) по сути это балансер который по некоторым правилам (http host:port, http path) определяет куда пустить запрос. и вот таки куда он его пустит, если это не http? ?

вот и бьюсь с этим (((

https://github.com/kubernetes/ingress-nginx/blob/master/docs/examples/grpc/ingress.yaml

вообще я бы попробовал вот с такого чего-то начать)

правильно, потому что ингресс очень специфичная штука) по сути это балансер который по некоторым правилам (http host:port, http path) определяет куда пустить запрос. и вот таки куда он его пустит, если это не http? ?

ну в шаблоне нжинксового ингресса точно есть пункты настройки stream'ов

хорошо, можно и без ingress по сути я за него зацепился только потому что редис клиенты не могут достучаться до редис сервера потому что в service меняется метка которая указывает на мастер и соответственно меняется ip на pod у клиента остается ip В кэше и он так и продолжает на него стучаться. В общем надо что бы был один постоянный ip как единая точка входа. Можно ли на service повесить постоянный ip ?

access_ip можно задать в ini. проверить можно в обратную сторону через чтение плейбука, думаю найти место где он генерит серты не сложно

добавил для 3-х нод из пяти, на каком-то этапе установка завалилась именно на этих трех нодах. Какая-то там проблема с доступностью

access_ip можно задать в ini. проверить можно в обратную сторону через чтение плейбука, думаю найти место где он генерит серты не сложно

добавил для 3-х нод из пяти, на каком-то этапе установка завалилась именно из-за этих трех нод. Какая-то проблема с их доступностью.

добавил для 3-х нод из пяти, на каком-то этапе установка завалилась именно на этих трех нодах. Какая-то там проблема с доступностью

supplementary_addresses_in_ssl_keys

хорошо, можно и без ingress по сути я за него зацепился только потому что редис клиенты не могут достучаться до редис сервера потому что в service меняется метка которая указывает на мастер и соответственно меняется ip на pod у клиента остается ip В кэше и он так и продолжает на него стучаться. В общем надо что бы был один постоянный ip как единая точка входа. Можно ли на service повесить постоянный ip ?

на сервис можно, https://kubernetes.io/docs/concepts/services-networking/service/#external-ips но это никак не относится к подам. я не уверен что есть способ ограничить айпи нового пода, да и не имеет это особого смысла имхо

добавил для 3-х нод из пяти, на каком-то этапе установка завалилась именно на этих трех нодах. Какая-то там проблема с доступностью

access_ip менять не надо. Я же правильно понимаю, что изначально проблема с доступом к кластеру извне?

да

да

значит вам подойдет вернуть все взад и прописать адрес в списке, который я упомянул выше. Кстати, домены туда тоже вносить можно

да, спасибо, пробую это сейчас

на сервис можно, https://kubernetes.io/docs/concepts/services-networking/service/#external-ips но это никак не относится к подам. я не уверен что есть способ ограничить айпи нового пода, да и не имеет это особого смысла имхо

clusterIP помог

есть ли (простой) способ научить kubespray самостоятельно отключать swap?

есть ли (простой) способ научить kubespray самостоятельно отключать swap?

https://github.com/kubernetes/contrib/blob/master/ansible/roles/node/tasks/swapoff.yml

хм, как же оно у меня не загрепалось по "swapoff"... ок спасибо

хм, как же оно у меня не загрепалось по "swapoff"... ок спасибо

в kubespray этого и нет, но кто мешает добавить туда эту роль?

а, не обратил внимания не репозиторий

А кто-нибудь пробовал cri-o серьезно использовать? Как оно?

подскажите, пожалуйста, по поводу gce ingress. настроен Pod и NodePort сервис. К ним подключен Ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: kubernetes.io/ingress.global-static-ip-name: my-ip kubernetes.io/ingress.class: gce labels: app: mailhog spec: rules: - host: mailhog.domain http: paths: - path: / backend: serviceName: mailhog-backend servicePort: 8025 при закуске HTML отлично отдаёт, а image/*, JS и CSS обрезаются 404

оно будет переключаться на 4 при каждом деплое, да?

да

коллеги кто нибудь знает как в ingress запроксировать tcp в данном случаи redis ?

а зачем тут ингресс и не просто сервис?

подскажите, пожалуйста, по поводу gce ingress. настроен Pod и NodePort сервис. К ним подключен Ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: kubernetes.io/ingress.global-static-ip-name: my-ip kubernetes.io/ingress.class: gce labels: app: mailhog spec: rules: - host: mailhog.domain http: paths: - path: / backend: serviceName: mailhog-backend servicePort: 8025 при закуске HTML отлично отдаёт, а image/*, JS и CSS обрезаются 404

а в логах ингресса и контейнера что?

а в логах ингресса и контейнера что?

Ingress чтобы терминировать много сервисов, TLS и т.п. Просто тестирую пока на одном

так я и говорю, а что в логах ингресса при запросе на .css? и что в логах самого контейнера?

или у gce ingress нет логов? у меня nginx который и там все можно продебажить, как обычный нжинкс

Контейнер mailhog не имеет логов. Видимо нужно подключить ещё nginx контейнер для отладки

а что такое mailhog? он вообще умеет сам статику отдавать, может там еще нжинкс надо сбоку поставить?

а что такое mailhog? он вообще умеет сам статику отдавать, может там еще нжинкс надо сбоку поставить?

Это типа мок почтовика. smtp, принимает почту. Потом через веб или апи можно письма проверить.

погуглил, нашел вот эту страницу https://github.com/mailhog/MailHog/blob/master/docs/CONFIG.md а что написано в MH_UI_WEB_PATH ?

подскажите, пожалуйста, по поводу gce ingress. настроен Pod и NodePort сервис. К ним подключен Ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: kubernetes.io/ingress.global-static-ip-name: my-ip kubernetes.io/ingress.class: gce labels: app: mailhog spec: rules: - host: mailhog.domain http: paths: - path: / backend: serviceName: mailhog-backend servicePort: 8025 при закуске HTML отлично отдаёт, а image/*, JS и CSS обрезаются 404

добавь ещё один path /*

ах да, там же в гугловском ингресс звездочку надо везде пихать - это даже в дкоументации написано и куча срача была на эту тему в багтрекере что ингресс правила не унифицированы между ингресс контроллерами