но с этим проблема

my eyes

Я про возможность, если что

только надо понимать как это работает, чтобы не сделать черзе жопу

Я устал кидать фейс палмы, мы говорили о разных вещах, а ты до сих пор убежден что я чего то не знаю из того что знаешь ты.

Я про возможность, если что

Это уж совсем изврат

ты гуглил лол

1 контейнер - 1 сервис, .иначе никак

ты гуглил лол

Чтобы привести тебе аргументы, а не быть голословным как ты

1 контейнер - 1 сервис, .иначе никак

Пока не плодятся зомби ;)

да-да, голословно пошёл запускать инит с strace

да-да, голословно пошёл запускать инит с strace

Я проверил на всякий случай, я не часто сталкиваюсь с этим.

вообще можно билдить контейнер из busybox или того же alpine и делать command: ['/bin/sh', '-c', 'source /etc/env.sh && exec your-daemon' ]

примерно так

и файл /etc/env.sh привозить из конфигмапы

и да, я даже не гуглил

Можно, но когда имеешь готовые контейнеры от разработчиков не очень хочется переопределять entrypoint/cmd, а тем более их перебилживать

Но тут уже вопрос не об этом

если ты не можешь переопределить entrypoint, то откуда ты знаешь, что оно прочитает файл /etc/environment?

Это не проблема, переменные то я подсуну, просто думал может есть более элегантное решение

ах, да

если ты не можешь переопределить entrypoint, то откуда ты знаешь, что оно прочитает файл /etc/environment?

Кто оно то?

"оно" = "приложение в контейнере" = "entrypoint"

Я не говорю что оно его прочитает, и с чего бы оно вообще это стало делать?

мужики, пиздуйте в личку

Переменные окружения считывает системный вызов exec который сопсно и запускает аппликуху

вот же говорил

не само приложение, а "ядро"

Я ж написал выше что я не знаю кто читает в контейнере, я предположил кто это может делать в отсутствии PAM.

о, уже стало "предположил"

ну ок

какашками покидался, а потом "предположил"

Так я не кидался, я пришел побеседовать, может кто сталкивался, а тебя куда то не туда понесло)

куда "не туда"-то?

Решил блестнуть умом заочно)

Ты)

ты сморозил херню а я тебе сказал что это не так

Т.е. до тебя еще не дошло что мы о разном говорили весь разговор?)

а теперь сказал, что это было "предположение"

но какашками покидаться успел

ладно, предположил и предположил

можешь узнал что-то новое сегодня

неплохо день прошёл, да?

Да уж) маразм какой то)

всё-таки надо изживать в себе вот это вот "в интернете кто-то не прав"

всё-таки надо изживать в себе вот это вот "в интернете кто-то не прав"

Согласен) иди попей пивка, приложи к попе лёд. А в следующий раз просто будь повнимательней чтобы не потерять нить беседы и не говорить не о том)

??

Поздно ты

совсем оффтоп удалить бы

ага, но вроде по второму кругу пошли

кстати да

/report

извините за срачик, который я разжёг

все ок, бывает, отлично понимаю

Кстати я всетаки разобрался как с переменными из файлов работать. В целом, может кому то пригодится: Создаем секрет: kubectl create secret generic credentials-production —from-env-file=credentials.env Юзаем: envFrom: - secretRef: name: credentials-production Работает отлично.

точно так же из конфигмап можно

Ага

now kiss

Отличная дискуссия! :)

А теперь можно я задам вопрос. У меня есть грозный безопасник, который хочет апрувить нетворк полиси. Какой-либо полиси модуль умеет ходить куда-нибудь чтобы получить апрув?

Типа хука перед применением полиси на кластере.

helm? :)

Что хельм:)

ну или любой CI

а в нём какой-нибудь хельм

Как это защитит кластер от плохого админа

Который ручками зафигачит доступ

ты щас про безопасника?

Про себя конечно

Возьму и разрешу общаться сервисам а безопасность не узнает об этом

ивлада на них нет

Угу

Ну пока я думаю предложить ему нажимать кнопку merge

Могу ли запустить 2 или больше оператора которые обрабатывают один и тот же кастомный ресурс?

насколько я знаю можешь. TPR это ничего больше чем ямл, а в операторе (которые тупо еще один контейнер) ты подписываешься на стрим ивентов по типу TPR. Не вижу причин почему нельзя подписаться на на один и тот же тип TPR дважды. Косвенно это подтвержается тем что если создаешь ингресс не указав тип и у тебя два типа ингрессов в кластере то объект ингресса попытаются обработать оба

насколько я знаю можешь. TPR это ничего больше чем ямл, а в операторе (которые тупо еще один контейнер) ты подписываешься на стрим ивентов по типу TPR. Не вижу причин почему нельзя подписаться на на один и тот же тип TPR дважды. Косвенно это подтвержается тем что если создаешь ингресс не указав тип и у тебя два типа ингрессов в кластере то объект ингресса попытаются обработать оба

Спасибо, как-то так и представлял, и думаю ограничить по namespace вполне возможно

Слишком много получится, их порядком 2х десятков и для каждого окружения они отличаются

хелм вам в помощь, у меня переменных в некоторых инсталляциях одного и того же приложения может быть больше 50 легко. Просто все что из .Values.env прокидываю в под как env в цикле (ну там сложнее т.к. часть еще в секрет кладу но общая идея такая)

Спасибо, как-то так и представлял, и думаю ограничить по namespace вполне возможно

конечно можно, например тот же нжинкс ингресс можно установить по штуке в каждый неймспейс и он будет обрабатывать ингресс объекты только в своем неймспейсе

коллеги всем привет. Подскажите какой контроллер использовать если у меня есть приложение которое собирает данные и шлет эти данные на один сервер. Если я настраиваю 2 реплики то получается что они обе отсылают данные, а мне надо что бы слала только одна, если рабочая реплика "умирает" то начитает отсылать данные вторая. Есть какое нибудь решение ?

так если ты создашь deployment с одной репликой, то при ее смерти она пересоздастся и снова начнет слать данные

Сделай одну реплику, умрет - запустится в другом месте и продолжит. Ну или где нибудь в etcd/consul/zookeeper заюзай локи, чтобы только одна реплика была лидером.

Либо заюзай https://kubernetes.io/blog/2016/01/simple-leader-election-with-kubernetes/

так если ты создашь deployment с одной репликой, то при ее смерти она пересоздастся и снова начнет слать данные

это понятно, но будет downtime

это понятно, но будет downtime

тогда второй вариант, либо как тебе советуют etcd/consul/zookeeper

ок спасибо

А есть возможность например пересоздавать под, скажем каждый час?

Без скриптов извне

А есть возможность например пересоздавать под, скажем каждый час?

cronjob?

Без скриптов извне

У кубера есть крон?

есть

есть

гугли cronjob

google://kubernetes+cronjob

только не забудь лимиты)

а то можно разнести кластер в щи

одним неловким движением)

в смысле? которые лимиты?

Спасибо уже нашел

только не забудь лимиты)

Что за лемиты?