Подскажите, как идиологически правильно делать. Каждый сервис в отдельном нэймспейсе, или лучше на более крупные сущности делить. Типа дев, стэйдж, прод?

Наверное однозначно универсального ответа на этот вопрос нету.

Привет, подскажите плиз, возможно в хелм чарт в поле name задать gitlab ci переменную? Например: apiVersion: v1 description: A Helm chart for Kubernetes name: $CI_COMMIT_REF_NAME version: 0.1.0

У меня так не вышло. Выглядит так, что переменные доступны только внутри файла gitlab-ci.yml

У меня так не вышло. Выглядит так, что переменные доступны только внутри файла gitlab-ci.yml

а как выкручивались? Хочу сделать динамические шоурумы, где branch=showroom

а как выкручивались? Хочу сделать динамические шоурумы, где branch=showroom

Решили внутри gitlab-ci.yml прям helm command передавать нужные переменные через --set VAR=$GITLAB_CI_VAR

а можно подробнее о этом решении? вот есть у меня мой .gitlab-ci.yaml Deploy: stage: deploy script: - docker pull registry.devpayever.com/shipping - dapp —version - dapp kube deploy —namespace default —set "global.env=stage" —set "global.git_rev=${CI_BUILD_REF:-$CI_COMMIT_SHA}" —set global.ciProjectName=$CI_PROJECT_NAME registry.devpayever.com tags: - deploy есть ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: name: {{ .Chart.Name }} annotations: kubernetes.io/ingress.class: "nginx" spec: rules: - host: {{ .Chart.Name }}.example.com http: paths: - path: / backend: serviceName: {{ .Chart.Name }}-srv servicePort: 8000 tls: - secretName: custom-tls-cert-1 hosts: - {{ .Chart.Name }}.example.com Как можно передать в хосты имя бранча?

а можно подробнее о этом решении? вот есть у меня мой .gitlab-ci.yaml Deploy: stage: deploy script: - docker pull registry.devpayever.com/shipping - dapp —version - dapp kube deploy —namespace default —set "global.env=stage" —set "global.git_rev=${CI_BUILD_REF:-$CI_COMMIT_SHA}" —set global.ciProjectName=$CI_PROJECT_NAME registry.devpayever.com tags: - deploy есть ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: name: {{ .Chart.Name }} annotations: kubernetes.io/ingress.class: "nginx" spec: rules: - host: {{ .Chart.Name }}.example.com http: paths: - path: / backend: serviceName: {{ .Chart.Name }}-srv servicePort: 8000 tls: - secretName: custom-tls-cert-1 hosts: - {{ .Chart.Name }}.example.com Как можно передать в хосты имя бранча?

Я понял о чем вы, но пока лично у нас такие шоурумы не нужны. Возможно мы придем к этому позже.

А вообще кейс интересный. Если все ресурсы создавать в отдельном namespace, то и почистить потом все оттуда не составит. Думаю мы такое тоже попробуем сделать.

а можно подробнее о этом решении? вот есть у меня мой .gitlab-ci.yaml Deploy: stage: deploy script: - docker pull registry.devpayever.com/shipping - dapp —version - dapp kube deploy —namespace default —set "global.env=stage" —set "global.git_rev=${CI_BUILD_REF:-$CI_COMMIT_SHA}" —set global.ciProjectName=$CI_PROJECT_NAME registry.devpayever.com tags: - deploy есть ingress apiVersion: extensions/v1beta1 kind: Ingress metadata: name: {{ .Chart.Name }} annotations: kubernetes.io/ingress.class: "nginx" spec: rules: - host: {{ .Chart.Name }}.example.com http: paths: - path: / backend: serviceName: {{ .Chart.Name }}-srv servicePort: 8000 tls: - secretName: custom-tls-cert-1 hosts: - {{ .Chart.Name }}.example.com Как можно передать в хосты имя бранча?

И ещё: Просто интересно, как вы планируете обеспечить доступность хоста, в dns как то пропишете? Вот получится branch-1.example.com. Как сразу же его резолвить?

Wildcard?

Ещё до внедрения Docker просто льём логи всего в эластик, разрабы через кибану читают логи своих приложений не имея никаких доступов к бою

Пока ещё не обзавелись. Но правильная готовка эластика - дорого

А вообще кейс интересный. Если все ресурсы создавать в отдельном namespace, то и почистить потом все оттуда не составит. Думаю мы такое тоже попробуем сделать.

Мы так и делаем

Wildcard?

Wildcard чего? Вы про *. example.com?

Да

Мы так и делаем

А вопрос @dimaold решали и обошли?

короче обошел - но немного костыльным путем

before_script: - sed -i — "s/example/$CI_COMMIT_REF_NAME/g" ./.helm/Chart.yaml

Да

Ну, допустим, все эти имена резолвят 1 ip. Дальше, что то затрудняюсь сразу додумать куда это пойдет.

Как вариант 2 haproxy балансера под vip адресом, бэкендом которых будет ip с нодпортами ingress сервиса

before_script: - sed -i — "s/example/$CI_COMMIT_REF_NAME/g" ./.helm/Chart.yaml

Мда)

Пока ещё не обзавелись. Но правильная готовка эластика - дорого

о правильной готовке с логами до 100Гб в день можно особо не задумываться, он и в стоке хорош (ну только разве о диках под объём надо подумать)

А вопрос @dimaold решали и обошли?

Мне не ясен его вопрос.

Скажу только, что месяца полтора велосипед прогали

Зато стенды теперь за пару минут создаются, с SSL и DNS

По сути вопрос такой: имя ветки с git -> host Ingress

Под доменом example.com

Мы в имя хоста суем имя группы, имя проекта, slug бранча/sha, номер pipeline/job

Скажу только, что месяца полтора велосипед прогали

Велосипед в студию ?

Велосипед в студию ?

Это очень дорого и сложно

А есть ли способ мониторить конкретный namespace(именно те ресурсы которые он использует)

А есть ли способ мониторить конкретный namespace(именно те ресурсы которые он использует)

Очевидно есть. Отфильтрованные по namespace метрики

Делаете в grafana dashboard с нужными графиками/метриками. Namespace выносите в переменную. И смотрите ресурсы по неймспейсам

Делаете в grafana dashboard с нужными графиками/метриками. Namespace выносите в переменную. И смотрите ресурсы по неймспейсам

да, спс, туплю с утра:)

Зато стенды теперь за пару минут создаются, с SSL и DNS

Мы юзаем самописный интегратор который создает необходимое имя в паверднсе. ssl прописан в секрете ингреса

Мы кстати не крутим домены по факту, хотя проверка в коде и автокорректировка записи есть. Просто *. указывающая на кластер. Наружу торчит только один балансировщик.

Так как иначе глюки кеширования неизбежны

так и есть - Wildcard и динамически генерирующиеся поддомены. Поддомен = тикет в джире=динамческий шоурум

Угу

я просто не знал как правильно в чартах задать имя этому шоуруму

Мой пример помог найти путь к решению?

я уже кидал какой костыль я изобрел

before_script: - sed -i — "s/example/$CI_COMMIT_REF_NAME/g" ./.helm/Chart.yaml

У нас имя получается вида php7-app1-master-765.домен

$CI_COMMIT_REF_NAME - у нас имя бранча = джира тикет= щоурум.домен

А есть ли способ мониторить конкретный namespace(именно те ресурсы которые он использует)

Флант на рите это разжевал, 1день середина или у них может уже есть

Флант на рите это разжевал, 1день середина или у них может уже есть

неее, то что прометей это то понятно, я уже курю

неее, то что прометей это то понятно, я уже курю

Там и твой вопрос

Хотя тут уже ответили, но

И ещё: Просто интересно, как вы планируете обеспечить доступность хоста, в dns как то пропишете? Вот получится branch-1.example.com. Как сразу же его резолвить?

я немного выше писал - Мы юзаем самописный интегратор который создает необходимое имя в паверднсе. ssl прописан в секрете ингреса

Тоже интересует. Кто как логи собирает ? Мы в сторону fluind пока что смотрим ...

Мы тоже + kibana

graylog все хочу заюзать

руки никак не доходятъ

ребята, а юзал кто-то https://github.com/kubernetes-sigs/kustomize/blob/master/README.md ?

руки никак не доходятъ

Та же фигня с loghouse

психанул

начал разварачивать graylog

Народ а кто как хранить данные prometheus ? Я тут попробовал прикрутить influxdb через https://github.com/prometheus/prometheus/tree/master/documentation/examples/remote_storage/remote_storage_adapter Какое то время это работало, но с увеличеним обьема данных, работать перестало

Нативная связка вообще не взлетела ((

у нас хранят в самом проме, но только 2 недели retention period

Нам хотябы пол года нужно

Пробовал potgresql прикрутить, но тоже не влетело. Точнее, писать он туда писал, а вот прочитать занимало очень много времени...

Пробовал potgresql прикрутить, но тоже не влетело. Точнее, писать он туда писал, а вот прочитать занимало очень много времени...

Индексы навешивать не пробовали?

prometheus для таких длинных промежутков не очень насколько я слышал

Пробовал potgresql прикрутить, но тоже не влетело. Точнее, писать он туда писал, а вот прочитать занимало очень много времени...

кликхаус?

у нас есть куча метрик в influx но мы туда их пушаем вручную а не через прометеус

уже наверное больше года там метрик

Индексы навешивать не пробовали?

Нет. Сделал все по доке, но не взлетело. Дальше заморачиваться не стал

но опять же их там не так много, всего 12гиг на данный момент занято

но опять же их там не так много, всего 12гиг на данный момент занято

У меня то что уже успело на 32GB написать в influxdb ?

кликхаус?

А есть реальный положительный опыт его использования в данном кейсе ?

У меня то что уже успело на 32GB написать в influxdb ?

ого, а точно вам нужны эти метрики целых полгода если вы даже не знаете что там?

ого, а точно вам нужны эти метрики целых полгода если вы даже не знаете что там?

Почему же не знаем ? Знаем. И они нужны )

А есть реальный положительный опыт его использования в данном кейсе ?

на куберовском митапе в офисе ibm вещали

на куберовском митапе в офисе ibm вещали

а есть запись?

а есть запись?

Присоединяюсь к вопросу

Пробовал potgresql прикрутить, но тоже не влетело. Точнее, писать он туда писал, а вот прочитать занимало очень много времени...

kafka рассматривали?

kafka рассматривали?

Прометей туда умеет?

kafka рассматривали?

Нет, туда еще не смотрели

не уверен, вот только это нашёл https://github.com/cortics/prometheus-to-kafka-exporter

мне его просто рекламировали как раз для целей хранения данных за большой период времени

/report

а точно ли нужна такая детализация метрик за такой большой период?

почему бы для longterm не скрейпить реже?

Флант рассказывал об этом в первый день в главном зале

Гайз в борьбе против настройки дашборда для кубера - настроил ингресс, тестовые сервисы работают нормально - запустил дашборд с http - через kubectl proxy могу обращаться с локальной машины (что странно из браузера все равно не могу обратится - только с локальной машины-виртуалки) - добавляю ингресс руты для дашборда 1) если только http то получаю 404 page not found (причем ответ похоже от самого дашборда - так как от ингрес-нжинкса страница выглядит по другому) 2) если дашборд http а спереди зделать https от ингресса то таже 404, что доказывает что я достучался до дашборда 3) если запустить дашборд по https и у ингресса добавить аннотацию nginx.org/ssl-services: "kubernetes-dashboard" то получаю 404 от нжинкса Есть нормальный гайд по настройке дашборда для ингресса?

есть

в открытом доступе?))

а не вот эта записулька https://github.com/kubernetes/dashboard/wiki/Accessing-Dashboard---1.7.X-and-above Ingress Dashboard can be also exposed using Ingress resource. For more information check: https://kubernetes.io/docs/concepts/services-networking/ingress.

https://github.com/kubernetes/dashboard/wiki/Accessing-Dashboard---1.7.X-and-above

оооокей

me@sshct:~$ cat git/k8s/k8s-dashboard-ingress.yaml --- apiVersion: extensions/v1beta1 kind: Ingress metadata: name: kubernetes-dashboard namespace: kube-system annotations: kubernetes.io/tls-acme: "true" nginx.ingress.kubernetes.io/secure-backends: "true" spec: tls: - secretName: k8s-XXXXXXXX-ru-tls hosts: - k8s.XXXXXXXXX.ru rules: - host: k8s.XXXXXX.ru http: paths: - backend: serviceName: kubernetes-dashboard servicePort: 8443

спасибо сейчас попробую

ничего сложного, кроме хитрости с secure-backends. В остальном - сделано по гайду

Коллеги подскажите как решить проблему деплоя проекта. Грубо говоря у меня проект из 15 сервисов, есть helm чарты как для отдельных кусков проекта так и для всего в целом. Но уперся в проблему последовательности создания подов.

То шина поднимается раньше базы для нее, бэки соответственно дольше фронтов и авторизационных форм. Из за этого общий деплой - это лютый гемор.

Нет что нибудь типа докеровского depends_on

То шина поднимается раньше базы для нее, бэки соответственно дольше фронтов и авторизационных форм. Из за этого общий деплой - это лютый гемор.

это нормально