а ты удаляешь тег или образ?

энтерпрайзы ваще в монорепо живут без гитов :)

ну мы пока не настолько еще энтерпрайз, тьфу-тьфу-тьфу

это просто ахтунг какой-то

ну это не гитлаб, а registry issues

я как раз на этом этапе проверок)

а ты удаляешь тег или образ?

а как ты образ удалишь? там кнопочка в UI удалить напротив тега

гитлаб же по-сути только авторизацию предоставляет для реджистри

а удалится и иобраз и все теги

а под ним обычный режистри

ну в докер хабе такого треша нет

чо правда?

так что проблемы явно у гитлаба

надо попробовать и если получится то завести баг

у артифактори тоже нет насколько я знаю

а удалится и иобраз и все теги

подтверждаю, так и есть)

импорт с гитхаба сначала вообще валился с 500, потом вроде в новой версии заработал через раз но упорно импортирует не в выбранный проект а в твой личный спейс

у них там вообще своя культура процессов

ну в докер хабе такого треша нет

на селф хостед докер реджистри вроде такая же фигня

на селф хостед докер реджистри вроде такая же фигня

о, а я то тестирую в облаке, гляну локально. спасибо

ну тут хз, докер хаб и ECR амазоновский ведут себя норм, артефактори я юзал самую малость но вроде там тоже норм

гитлаб же за много денег а говно куда не ткни :(

сорри за оффтоп, просто крик души

ты баги-то им завёл?

я хз про ынтырпрайз версию, но гитлаб всё равно лучший из бесплатных пока что

сорри за оффтоп, просто крик души

А ты не оффтопь впредь. Обгадить GitLab можно и в @devops_ru.

я им заводил тикет про импорт с гитхаба, после ответа через 3 дня вместо положеннх 4 часов решил больше не тратить свое время, все - конец оффтопа

Господа знатоки, всем доброго времени суток! Есть немного глупый вопрос, и, по правде говоря - не особо уверен, что он должен быть адресован именно сюда, но мы никак не можем порешать. Суть ситуации: есть GKE кластер, в котором крутится веб-приложение. К приложению подключен service (то бишь лоадбалансер) с гугловским типом “internal” - и адресом во внутренней сети в клауде, естественно. Так же есть ВПН сервер в этой же подсети для внешних подключений. Беда заключается в том, что коммуникации происходят в одностороннем режиме - при попытке зайти на веб-интерфейс приложения, ничего не грузит вообще. Пробовал curl - ответа не приходит. Но при этом, в логах nginx в контейнере я вижу попытку подключения и GET от браузера. Но при этом всём, если зайти черех ssh на хосты внутри сети (compute engine, не в кластере k8s), в которую смотрит лоад балансер, и сделать curl - ответ приходит. Подскажите, пожалуйста, куда и что копать? Файрволы разрешают весь трафик внутри подсети.

Логически сразу на ум приходят проблемы с VPN, но не может же StrongSwan выборочно резать траффик, правильно?

Так же, если в браузере ввести напрямую адрес и порт ноды (не пода, а именно ноды) - приложение открывается.

звучит как проблемы с NAT и что ответ не перенаправляется обратно по впн

Какой нить дефолт гетвей проверьте со стороны впн/кластера в сторону офиса

Господа, а вот натолкнулся на такую фразу в гугле по этому поводу - кто что думает?

We wanted to use Internal load balancers for the aforementioned routing. Both AWS and GCP provide internal load balancers, however it’s not currently possible to route requests to a GCP internal load balancer from outside the GCP network, even if you are connected over the VPN. So we needed to come up with an alternative approach.

Взято отсюда

https://tech.holidayextras.com/routing-to-internal-kubernetes-services-using-proxies-and-ingress-controllers-e7eb44954d53

We wanted to use Internal load balancers for the aforementioned routing. Both AWS and GCP provide internal load balancers, however it’s not currently possible to route requests to a GCP internal load balancer from outside the GCP network, even if you are connected over the VPN. So we needed to come up with an alternative approach.

По GCP все верно. Там если скажешь ему LoadBalancer вместо NodePort, он запускает четырехзвенку GLB, а потом сиди и разбирайся с кучей служебных сущностей, которое оно породило на слоях GCE, GLB и VPC в панели GCP

И дефолтные квоты там на внешние IP по умолчанию 8 IP на проект

Чтобы сделать больше надо выходить из триалки и писать слезное письмо

И напрямую внешний адрес ты никак не сможешь прицепить к GKE ingress

Тогда главный вопрос: правильно ли я сейчас понимаю, что со своего хоста, подключенного через ВПН, я к интернал лоад балансеру подцепиться не смогу?

Только через GLB (причем неважно, автоматически созданный, или вручную)

Простите, а сам VPN сервер у вас где относительно вашего GKE?

В одной подсети с ним, в compute engine живет

http://dl4.joxi.net/drive/2018/05/24/0007/2721/490145/45/3d9d7b2c75.jpg

Но до сервисов, живущими за интернал лоад балансерами - достучаться не дает. При этом всём, отлично работает с приложениями, живущими в отдельных инстансах на GCE.

С использованием NodePort - сможешь

Ну и про политики сетевые разрешающие не забыть на уровне самого GKE (k8s)

Можно, но это скорее хак будет - у меня там порядка 20 сервисов будет (привет адептам микросервисов).

Хотелось бы правильно - по отдельным внутренним айпишникам ходить.

Но основная сложность у тебя будет в отлове этих динамически присваиваемых NodePort

а нельзя впн прямо внутри кубера поднять? :)

А смысл? Оверхед обслуживания - выше, профит - не очевиден.

а нельзя впн прямо внутри кубера поднять? :)

Тогда придется держать два отдельных ВПНа, от чего мой мозг вспыхнет как спичка.

сервисы внутри будут доступны

да-да, всё так

Народ, подскажите как шедуллер заставить при ребалансировке под, сажать поды на более разгруженный воркер?

что-то делаю может не так?

З.Ы На скрине все поды запущены, так как добавил ресурсов на worker02

привет всем. включил RBAC и создал role, rolebinding: --- kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: kube-test name: deploy rules: - apiGroups: [""] resources: [""] resourceNames: [""] verbs: ["create", "update", "patch", "delete"] --- kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: kube-test name: deploy subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: deploy roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: deploy как ему сгенерить секрет чтоб деплоитьчерез этого юзера? или может вообще не так надо делать?

У кого-то есть опыт смены MAC адреса у ESXI физического адаптера через live-cd debian?

А кто-нибудь пробовал cri-o серьезно использовать? Как оно?

Плюсую. Сори за слоупочество, слишком уж продуктивный чат

Упс, это видимо был офтоп ?

@Bykva, ещё раз насрёшь таким во всех чятиках -- забаню за спам.

а есть CI as a service, который работает лучше и быстрее gitlab-ci и проще интегрируется с k8s?

а есть CI as a service, который работает лучше и быстрее gitlab-ci и проще интегрируется с k8s?

Если появилось облако(или появится), то Jenkins-x

Если появилось облако(или появится), то Jenkins-x

не сыровато ли?

не сыровато ли?

Очень сыро, но других подобных работ в этом направлении пока не нашёл

Подскажите, как добыть логи поды которая в гитлабе описывается как Waiting for pod stage/runner-aa5716a7-project-181-concurrent-1swp8h to be running, status is Pending Running on runner-aa5716a7-project-181-concurrent-1swp8h via gitlab-runner-8b8bc9c48-knl4b...

В апи сервере такая ошибка upgradeaware.go Error proxying data from client to backend write tcp write broken pipe