может не 80?

а почему на ноде должен 80 порт отвечать?

а как выглядит сервис траефика?

nodeport 80?

У nodeport вроде ограниченный диапазон портов

80 можно открыть с hostNetwork и priviliged

https://raw.githubusercontent.com/containous/traefik/master/examples/k8s/traefik-ds.yaml

Вроде ж 80-й должен быть? Или я чего-то не понимаю?

Простите за тупые вопросы. Только начинаю разбираться с ингресс контроллерами.

Через NodePort то понятно как сделать. Делал уже. Хочется именно 80-й и 443-й потом. Куб локально крутится, как песочница.

так надо чтобы nodeport сервис был у траефика

если ты хочешь чтобы он открыл порт прямо на хосте, то тебе надо network=host сделать

а как иначе траффик зайдёт в кластер?

в демонсет

ааа, ну или так

хотя там вроде NET_BIND_SERVICE

Так отож.

но тогда вообще не нужен сервис

Файло официальное от трафика.

В общем чет оно у меня не заводится.

Стоит Nginx пробовать?

так файл официальный для чего? там типа лоадбалансера не указан - явно ожидается ты под свою инфру допишешь имхо

https://docs.traefik.io/user-guide/kubernetes/

Вот по этой доке пытаюсь поднять

ну и я пришел к тому же выводу после чтения топиков. Вопрос в том, где реальный предел для k8s 1.11+containerd

ну типа сразу предел что маунтить волюм в containerd например пока никак ?

> This will create a Daemonset that uses privileged ports 80/8080 on the host. This may not work on all providers, but illustrates the static (non-NodePort) hostPort binding. The traefik-ingress-service can still be used inside the cluster to access the DaemonSet pods.

вон оно что

Угу.

возможно провайдер не поддерживает кстати, да

тогда если применить второй пример с NET_BIND_SERVICE то должно слушать порты

Ээээ.

Я второй и применил.

ок, а теперь на ноде глянь какие порты слушаются

Это у меня виртуалки вагрантом подняты. Хотел 80-й порт наружу просто.

хм

netstat или lsof

Чтоб не городить хапрокси (или нжинкс) + ноде порт

может у тебя на ноде там файрволом закрыт 80 порт

Пусто в нетстате

сначала глянь с самой ноды

Машины пустые

Смотрел

а в docker ps порты видны?

b0a63b96c73b traefik "/traefik --api --ku…" 13 minutes ago Up 13 minutes k8s_traefik-ingress-lb_traefik-ingress-controller-6f6d87769d-6dgn5_kube-system_8b794ab6-7ef7-11e8-95eb-0238b8f5607e_0

нет, не видны.

а в docker ps порты видны?

не должно бы

посмотри лучше в inspect

на тему портов

в инспект точно но и в ps обычно видно в 4 или какой атм колонке

"PortBindings": null,

не уверен что в ps они будут видны при NET_BIND_SERVICE

"Ports": {},

Ну т.е. нет, не слушает докеровская прокся порты

вроде и не должна

Тогда я чет не понимаю.

Ладно. Пойду спать.

Утром буду мучать дальше

ну типа сразу предел что маунтить волюм в containerd например пока никак ?

это где такое написано?

это где такое написано?

а где написано что можно? ?

маунтить через CSI ого, круть

а че тогда в crictl нету такой опции?

Коллеги, чем можно централизованный биллинг API поднять. Т.е. через этот шлюз буду пропускать для разных пользователей запросы. Кто достиг лимита - прикрыли. Оплатил, работаем дальше

а где написано что можно? ?

https://k8s-testgrid.appspot.com/sig-node-containerd#containerd-node-e2e-1.1 вот тут е2е тесты и они говорят что секреты и конфиг мапы маунтятся подом. и еще там дофиоа строчек про сиг сторедж.

Коллеги, чем можно централизованный биллинг API поднять. Т.е. через этот шлюз буду пропускать для разных пользователей запросы. Кто достиг лимита - прикрыли. Оплатил, работаем дальше

Nginx, lua, любая очередь на выбор, redis - шлюз. Биллинг самописный. А чтобы это хоть как-то было связано с тематикой канала: запихнуть все это в куб

кто пользуется gke, как обходите отсутствие поддержки rewrite-target в их ingress'е?

ERROR: S client not available

nginx ingress

ясненько, так и думал

Коллеги, чем можно централизованный биллинг API поднять. Т.е. через этот шлюз буду пропускать для разных пользователей запросы. Кто достиг лимита - прикрыли. Оплатил, работаем дальше

Kong

И 1000 других API GW

Kong

можно ссылку на источник. спасибо!

можно ссылку на источник. спасибо!

https://konghq.com/

Nginx, lua, любая очередь на выбор, redis - шлюз. Биллинг самописный. А чтобы это хоть как-то было связано с тематикой канала: запихнуть все это в куб

кубер тут на 100% :) т.е. готового нет, нужно мастерить свое?

кубер тут на 100% :) т.е. готового нет, нужно мастерить свое?

Вроде того

спасибо!

А есть слайды/видео с этого митапа ? особо про эксплуатацию интересно.

? MOSCOW KUBERNETES MEETUP 3 5 месяцев?! Друзья, коллеги, мы не встречались целую вечность! Хватит, хватит это терпеть! 20 июня, офис Ingram Micro. Kubernetes, Москва, снова вместе. Kubernetes стал стандартом де-факто в мире кластером. Чат русскоговорящего сообщества Kubernetes в Telegram ( https://t.me/kubernetes_ru ) перегрет горячими обсуждениями. Нас уже более 1500 участников. Казалось бы, всё уже обсудили, но нет. На этот раз, наш ждёт что-то новое. Выходим за границы привычного. Впервые у нас в гостях англоязычный спикер. Поэтому, отменяйте планы на среду, приглашайте с собой коллег и готовьтесь погрузиться в новый большой мир. Настала пора обсудить – куда же мы все пришли за последние 15 месяцев? ПРОГРАММА: 19:00 - 19:20 Socializing 19:20 - 19:35 Welcome & digest, some fun 19:35 - 20:15 Networking and security in Kubernetes (Emil Gągała, VMware, EMEA Network and Security Architect) Do I need something more than Flannel? Flannel seems to be most popular networking option in Kubernetes. Is it the only choice? How to implement namespaces, services, ingress controller, network policy in more efficient way? And not forget about 2 day operations simplicity? Join my session to see live demo of K8S networking with VMware NSX. Bio: Emil Gągała – network consultant, enthusiast of cloud technology and cloud native applications. Graduate of telecommunications at Warsaw University of Technology. Three years ago he joined VMware team as EMEA Network & Security Architect. Involved in NSX projects in areas of Kubernetes, OpenStack and Cloud. Previously he worked as Senior System Engineer in Juniper Networks. He has expertise in area of core networks, data centers and security. VCIX-NV, AWS-CSA and JNCIE certified. 20:15 - 20:55 Kubernetes Bare Metal (Михаил Жучков, Neuron Digital, SRE Team Lead) В данном докладе Михаил расскажет о том, как жить с Kubernetes на "железных" серверах без облаков. Про L3 сети, про Calico, про его дружбу с OSPF. Поднимутся проблемы написания своих плейбуков для установки кластера и обсудим плюсы-минусы такого подхода. Био: Михаил – "классический" админ с 10-летним стажем, нырнувший пару лет назад в модный стек технологий. С радостью познаёт новые технологии и с болью смотрит на то, как их познают другие. Известен своими провокациями про OpenStack vs Kubernetes. ? 20:55 - 21:15 Кофе-брейк, чай-пати, горячие дискуссии 21:15 - 22:00 Обзор Kubernetes как сервиса от облачной платформы Mail.Ru (Дмитрий Лазаренко, Mail.Ru Group, Product Manager) Недавно компания Mail.Ru Group запустила Kubernetes как услугу в облаке Mail.Ru Cloud Solutions, которая позволяет быстро создавать и масштабировать кластеры Kubernetes, включая multi master. В докладе Дмитрий расскажет о том, что под капотом этого решения - про функциональную начинку и системную архитектуру, про интеграцию с IaaS-платформой на базе OpenStack (приватные сети, блочные и NFS Persistent Volumes и PVC, LoadBalancer), а также про модель безопасности. Био: Дмитрий отвечает за PaaS-сервисы B2B-облака Mail.Ru, включая контейнерные решения на базе Kubernetes. До этого, в течение 6 лет работал в Jelastic, отвечал за разработку и развитие контейнерной PaaS-платформы. Эксперт в построении высоконагруженных сервисов. 22:00 - 6:00 Afterpaty? ? УСЛОВИЯ УЧАСТИЯ: 1. Мероприятие бесплатное. 2. Регистрация по ссылке - https://www.meetup.com/Moscow-Kubernetes-Meetup/events/251806061/ 3. Вход строго по регистрации. ВНИМАНИЕ! Необходимо обязательно указать в настройках профайла на Meetup.com свои имя и фамилию. ВОПРОСЫ? Появились вопросы или готовы выступить с докладом на следующем митапе? Пишите в Telegram: - https://t.me/DenisIzmaylov Или на e-mail: events@axept.co

А есть слайды/видео с этого митапа ? особо про эксплуатацию интересно.

я лично посматриваю ютуб в поисках доклада, и до сих пор не выложили запись

я помню, с прямой трансляцией накладки были. может хоть запись есть

всем привет. пытаюсь осваивать куб (не особо успешно). развернул тестовый деплоймент+сервис+ingress-nginx. Сейчас делаю сбор логов в логстэш. Прилетает такое: 10.244.0.0 - [10.244.0.0] - test [04/Jul/2018:07:18:35 +0000] "GET / HTTP/1.1" 200 13 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0" 354 0.002 [default-service-citest-80] 10.244.2.26:80 13 0.000 200 bc09f94aece803303dd3f9c7480bc591 куда надо подстановку real-ip вкорячить, чтобы нормальный IP увидеть в логе?

всем привет. пытаюсь осваивать куб (не особо успешно). развернул тестовый деплоймент+сервис+ingress-nginx. Сейчас делаю сбор логов в логстэш. Прилетает такое: 10.244.0.0 - [10.244.0.0] - test [04/Jul/2018:07:18:35 +0000] "GET / HTTP/1.1" 200 13 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0" 354 0.002 [default-service-citest-80] 10.244.2.26:80 13 0.000 200 bc09f94aece803303dd3f9c7480bc591 куда надо подстановку real-ip вкорячить, чтобы нормальный IP увидеть в логе?

baremetal?

baremetal?

да

да

proxy-real-ip-cidr: CIDR/8 вкорячить в ConfigMap. https://github.com/kubernetes/ingress-nginx/blob/6e68be3d15873e9253a761ada0a8f65ceecbba32/docs/user-guide/nginx-configuration/configmap.md#proxy-real-ip-cidr

И указать CIDR, которому доверяете.

так и подумал, что там, как раз на этой странице щас. но смутило, что proxy_protocol это вроде как немного другое

спасибо, щас попробую

А, чёрт, косякнул. Сейчас у нас гляну, как сделано.

Нет, не косякнул. proxy_protocol выключен, опция включена и работает.

@OrNixx Попробуй всё же.

ща.. врублюсь, как вообще писать эти конфигмапы

неа, че-т не сработало

Сверху-то правильные хэдэры приходят?

сверху это откуда? точка входа ведь nginx-ingress-controller

А, стоп. А он к хосту через HostNetwork биндится?

Какой там тип сервиса?

NodePort открывает, я так понимаю

Не взлетит, делай HostNetwork: true.