какой ингресс посоветуете на новый кластер кубернетес? https://github.com/nginxinc/kubernetes-ingress/ https://github.com/kubernetes/ingress-nginx

помогите с RBAC

есть сертификат, по которому настроен доступ через kubelet в кластер. все работает. добавляю новый namespace, создаю в новом ns role и rolebinding и не работает Error from server (Forbidden): pods is forbidden: User "kube-client-dev" cannot list pods in the namespace "devv"

k8s+containerd пинал кто?

в логах api вот это только: I0530 14:24:53.231643 1 rbac.go:116] RBAC DENY: user "kube-client-dev" groups ["novices" "system:authenticated"] cannot "list" resource "pods" in namespace "devv"

Куда еще можно посмотреть

роль и биндинг диффом сравнивал с рабочим ns - все одинаково

парни. кто где хранит свои имаджи? selfhosted registry:v2 / harbor / cloud?

docker hub, aws ecr)

вот прямо свои private images?

а почему нет? в чём вопрос?

private registry, конечно

ух, какой я молодец. Или изобретатель велосипеда? Есть ли готовый сервис, который собирает информацию о процессах в контейнере? А то пришлось на питоне писать штуку которая подключается к апи-кубера, выполняет exec top ... потом полученные данные записывает в infuxdb/прометеус, а уже потом графаной вывожу информацию о нужных процессах. Чувствую, что уже давно кем-то это реализованно и получше моего, но не испытвал такого самодовольства даже с первым кластером кубернетеса)

смотря что вам нужно. цпу, память, сеть нормально прометей сам собирает

и всё это работает в одном поде, и сбор данных идёт с многих подов одного стейтфулсета, который я указал. Пора идти в разработчики кубернетеса, жаль что питон они не жалуют(

повозиться с rbac правда пришлось, еле нашёл нужное правило

нет, нужно было именно отдельных процессов внутри контецйнера

ну и не прометей это собирает, он просто хранилище

собирает или хипстер или metrics-server

ух, какой я молодец. Или изобретатель велосипеда? Есть ли готовый сервис, который собирает информацию о процессах в контейнере? А то пришлось на питоне писать штуку которая подключается к апи-кубера, выполняет exec top ... потом полученные данные записывает в infuxdb/прометеус, а уже потом графаной вывожу информацию о нужных процессах. Чувствую, что уже давно кем-то это реализованно и получше моего, но не испытвал такого самодовольства даже с первым кластером кубернетеса)

Node exporter's собирают данные и отправляют их в прометей

https://devops.college/prometheus-operator-how-to-monitor-an-external-service-3cb6ac8d5acb

а я думал контейнеры это идеологически 1 процесс

у меня в кластере три мастера. и три etcd столкнулся с проблемой, что не работают свеже созданные роли. выяснилось, что если обращаться к master-2 или master-3 - то все работает. а вот если прописать в конфиге kubctl https://master-1:6443 то не пускает. вывод API Сервер на master-1 почему-то не видит новых изменений в кластере. причем если зайти на master-1 И с него локально посмотреть - то все роли видны namespaces

/report

а я думал контейнеры это идеологически 1 процесс

я тоже думал, но так вышло. вообще, я радовался что не статистику научился снимать, а с апи работать)

Ты в курсе что в контейнере может не быть top?

WaveScope в помощь... Правда у меня выжирает CPU...

правда? не может быть??? ну это для определённых контейнеров одних разработчиков, топ установить было проще, чем поменять их архитектуру ?

Или уволить их скопом за такие контейнеры

>2к18 >Устанавливать в контейнеры топ Сейчас разных сборщиков метрик развелось мешок целый, и графоний для них - тележка.

kubectl get events если это было не сильно давно - там будет ивент что не смогло стартануть под и причина (по сути это то что внизу kubect describe pod идет)

спасибо

ух, какой я молодец. Или изобретатель велосипеда? Есть ли готовый сервис, который собирает информацию о процессах в контейнере? А то пришлось на питоне писать штуку которая подключается к апи-кубера, выполняет exec top ... потом полученные данные записывает в infuxdb/прометеус, а уже потом графаной вывожу информацию о нужных процессах. Чувствую, что уже давно кем-то это реализованно и получше моего, но не испытвал такого самодовольства даже с первым кластером кубернетеса)

sysdig все это умеет

а я думал контейнеры это идеологически 1 процесс

это 1 бизнес процесс, не один ОС процесс - в доках же все написано

sysdig все это умеет

Спасибо, посмотрю. А можно не скромный вопрос? Не первый раз замечаю, что вы единственный, кто сразу и конкретно отвечает на вопросы и помогает здесь, а не рассуждает, что так делать не нужно, кто вас этому учил и так далее. Где и кем вы работаете?)

/report

/report

Мне действительно интересно

Может просто потому что я вечером захожу и читаю все сообщения за раз, просто нет возможно развести полемику? ?

работаю в компании OLX Group, ops/sre

Да, но у вас всегда чёткие ответы как от гуру) Спасибо,

попробую исправиться и завести полемику - статья в блоге influxdata и обсуждение на реддите https://www.reddit.com/r/programming/comments/8muwu0/will_kubernetes_collapse_under_the_weight_of_its/

интересно услышать мнение нашего небольшого телеграмм коммьюнити

что-то не удалось завязать полемику ?

что-то не удалось завязать полемику ?

Время видел?)

ну тут же не все в РФ живут, кому-то в канаде или там США вообще время детское

https://labs.play-with-k8s.com/

вообщем-то я несколько раз пытался на него задеплоить проект и постоянно какие-то приколы вроде того что в пакадже хельма неверный путь прописан к образу.

но прогресс идет все это фиксят

вообщем пока на docker-compose ?

/report

но чувствую в какой-то момент администрирование зоопарка сервисов станет слишком затратным и придется все же переходить на kubernetes

но чувствую в какой-то момент администрирование зоопарка сервисов станет слишком затратным и придется все же переходить на kubernetes

Сервисы то останутся

но чувствую в какой-то момент администрирование зоопарка сервисов станет слишком затратным и придется все же переходить на kubernetes

И разводить зоопарк сервисов в нем

ну да

Только зверя кубик притащиль

У kubespray для этого есть специальная опция в файле k8s-cluster.yml. Называется kubeconfig_localhost. Если поставите в true, то в inventory директории соответствующего кластера после установки появится директория artifacts с кубконфигом

Коллеги, пытаюсь создать pv с Vsphere. В оф. документации есть пример pv: apiVersion: v1 kind: PersistentVolume metadata: name: pv0001 spec: capacity: storage: 2Gi accessModes: - ReadWriteOnce persistentVolumeReclaimPolicy: Retain vsphereVolume: volumePath: "[datastore1] volumes/myDisk" fsType: ext4 Так вот не могу понять, вместо datastore1 что должно быть? Может у кого-то есть более исчерпывающий пример?

В том же примере, за шаг до этого создают диск: vmkfstools -c 2G /vmfs/volumes/datastore1/volumes/myDisk.vmdk Тут как бы все понятно...

Если кто-то уже подавал pv с Vsphere, поделитесь мини совсем кратким мануалом по шагам

Подскажите, как идиологически правильно делать. Каждый сервис в отдельном нэймспейсе, или лучше на более крупные сущности делить. Типа дев, стэйдж, прод?

Я об том, что ci придется давать полные права чтобы деплоить во все стадии нэймспейса. А если по проектам делить, то в ci для разных проектов разные сервис аккаунты подключать.

Ещё до внедрения Docker просто льём логи всего в эластик, разрабы через кибану читают логи своих приложений не имея никаких доступов к бою