подкажите чем можно сделать self-signed серт для ingress который деплою через helm в minikube? это для локальной разработки, решения которые генерят letsencrypt не подходят т.к. нет домена, он через хосты прописывается. и поскольку это будет постоянно убиваться/подниматься решения типа cert-manager не подходят тоже, как по мне нагуглил helm-certgen который похоже решает проблему так как хотелось, но у нас разработка с винды :(

В GKE там же вроде ихних сторадж.

да, но он RWO же, т.е. только 1 pod должен мочь его использовать?

подкажите чем можно сделать self-signed серт для ingress который деплою через helm в minikube? это для локальной разработки, решения которые генерят letsencrypt не подходят т.к. нет домена, он через хосты прописывается. и поскольку это будет постоянно убиваться/подниматься решения типа cert-manager не подходят тоже, как по мне нагуглил helm-certgen который похоже решает проблему так как хотелось, но у нас разработка с винды :(

я бы сгенерил сертификаты лет на 10 и забил бы.

* сгенерил бы руками. Как seed для базы получается. Не вижу ничего страшного,

* сгенерил бы руками. Как seed для базы получается. Не вижу ничего страшного,

так и есть, только не на 10 лет... вероятно так и оставлю, но хотелось чего то поинтереснее, спасибо

так и есть, только не на 10 лет... вероятно так и оставлю, но хотелось чего то поинтереснее, спасибо

написать docker run который генерит локально сертификаты при развертывании.

Тогда не важно что windows и нет bash

это уже интереснее, докер точно у всех есть локально :)

это уже интереснее, докер точно у всех есть локально :)

у меня нет

у меня нет

прими наши соболезнования ?? держись там

прими наши соболезнования ?? держись там

кто кому еще соболезновать должен

это уже интереснее, докер точно у всех есть локально :)

https://github.com/gitphill/openssl-alpine даже уже готово. Не нужно вспоминать флаги openssl

кто кому еще соболезновать должен

какой бы docker кошмарный не был бы, но если проект локально развертывается через docker-compose up это крайне приятно.

какой бы docker кошмарный не был бы, но если проект локально развертывается через docker-compose up это крайне приятно.

не, Вы не поняли, я локально уже давно ничего не разворачиваю)

подкажите чем можно сделать self-signed серт для ingress который деплою через helm в minikube? это для локальной разработки, решения которые генерят letsencrypt не подходят т.к. нет домена, он через хосты прописывается. и поскольку это будет постоянно убиваться/подниматься решения типа cert-manager не подходят тоже, как по мне нагуглил helm-certgen который похоже решает проблему так как хотелось, но у нас разработка с винды :(

предлагают использвать функцию genCA из https://godoc.org/github.com/Masterminds/sprig серт генирится в Secret когда дергается хук "helm.sh/hook": "pre-install" https://github.com/HagaiBarel/kube-charts/blob/master/custom-metrics/templates/secret.yaml Возможно это ваш случай https://medium.com/nuvo-group-tech/move-your-certs-to-helm-4f5f61338aca

вот тут дока про genCA https://github.com/Masterminds/sprig/blob/master/docs/crypto.md#genca сообственно spring это часть хелмовского шаблонизатора

А cfsssl/multirootca/certmgr чем плохи?

предлагают использвать функцию genCA из https://godoc.org/github.com/Masterminds/sprig серт генирится в Secret когда дергается хук "helm.sh/hook": "pre-install" https://github.com/HagaiBarel/kube-charts/blob/master/custom-metrics/templates/secret.yaml Возможно это ваш случай https://medium.com/nuvo-group-tech/move-your-certs-to-helm-4f5f61338aca

спасибо, похоже это то что я искал, пойду тестить

спасибо, похоже это то что я искал, пойду тестить

пжслт)

А cfsssl/multirootca/certmgr чем плохи?

хороши, только для других задач

Ребят с какого средства разворачивания куб кластера начать? Пока изучил различные по minikube,теперь хочу развернуть 3 мастера 3 ноды

kubeadm

kubeadm

Стоит сразу начать с 1.11 куб?

хороши, только для других задач

Дык, вроде любую PKI на них построить можно. Сколь угодно автоматическую)

Стоит сразу начать с 1.11 куб?

почему нет

А с какого ещё стоит начинать?)

попробуй с kubespray для начала манифесты посмотреть готовые

нафиг он нужен если есть kubeadm?

нафиг он нужен если есть kubeadm?

в kubeadm наконец-то добили мультимастер ?

Ребят с какого средства разворачивания куб кластера начать? Пока изучил различные по minikube,теперь хочу развернуть 3 мастера 3 ноды

https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x Вот с этого начни для начала. Если нужно быстро развернуть - разверни с kubespray Если хочешь втухнуть в архитектуру, то разворачивай руками по https://github.com/kelseyhightower/kubernetes-the-hard-way

нафиг он нужен если есть kubeadm?

кубеадм - это 100тыщ действий руками. kubespray - отконфигурировать инвентарь как надо и разлить на машины. А - Автоматизация.

у спрея с фланнелом проблемы, только с калико деплоится

https://www.edx.org/course/introduction-kubernetes-linuxfoundationx-lfs158x Вот с этого начни для начала. Если нужно быстро развернуть - разверни с kubespray Если хочешь втухнуть в архитектуру, то разворачивай руками по https://github.com/kelseyhightower/kubernetes-the-hard-way

Оо спасибо, хочу втухнуть пока время позволяет) Кубспрей посл версия насколько я понимаю с 1.1.0

но на посмотреть что и как должно быть - самое то

у спрея с фланнелом проблемы, только с калико деплоится

хз, мы с фланелькой в феврале деплоили - всё отлично было.

у спрея с фланнелом проблемы, только с калико деплоится

сейчас с weave деплоил 2 кластера, пока особых проблем не наблюдаю.

/me ни разу не юзал kubespray

/me ни разу не юзал kubespray

очень много времени потерял ))

какая разница, с ним время терять или без него

с ним время не теряешь

это ты так думаешь

это я так знаю )

ну то если если ты типа девопс и не хочешь ничего знать, а хочешь херачить в прод, то ок

а если ты нормальный, то ты всё равно будешь разбираться в том как это всё устроено

ну т.е. если сначала без него делал, а потом с ним, то есть с чем сравнивать )

ну то есть ты "потерял время"?

да, много времени )

ты считаешь обучение устройству кубера - потерей времени?

у нас тоже автоматизация

и без ансибла и без кубеспрея

прикинь!

Вау, ты крут, наверное башскрипты на коленке накуеверчены ))

лол

ну то если если ты типа девопс и не хочешь ничего знать, а хочешь херачить в прод, то ок

что мешает разобраться с тем, что делает инструмент. в начале ты точно не имеешь своих практик для настройки, начать с kubespray - отличная отправная точка

что мешает разобраться с тем, что делает инструмент. в начале ты точно не имеешь своих практик для настройки, начать с kubespray - отличная отправная точка

как отправная точка - ок

что мешает разобраться с тем, что делает инструмент. в начале ты точно не имеешь своих практик для настройки, начать с kubespray - отличная отправная точка

+100500

но не как серебряная пуля

и не как синоним слову "автоматизация"

Особенно добавлю, что кубеспрей собирает кластер Правильно, а не так как в голову прийдёт.

а что, есть только одно "правильно"?

у меня есть опыт работы с кластерами в которых изначально куча кривых архитектурных решений реализовано. Я за кубеспрей.

а что, есть только одно "правильно"?

для 90% случае кубеспрей обеспечит правильное разворачивание. Тем кому нужно больше и острее заточеннее смогут с его помощью всё это реализовать быстрее и проще. Это ИМХО.

а могут и без него

ERROR: S client not available

В тему вашего спора, изучил основы прочитав devops toolkit 2.3 kubernetes, юзая миникуб. Начну с hard way чтобы потом не тупить и понимать как все утроено, а потом kubespray попробую) отпишусь верный ли это путь по изучению или нет)))

В тему вашего спора, изучил основы прочитав devops toolkit 2.3 kubernetes, юзая миникуб. Начну с hard way чтобы потом не тупить и понимать как все утроено, а потом kubespray попробую) отпишусь верный ли это путь по изучению или нет)))

Счастливый человек с кучей времени ?

Счастливый человек с кучей времени ?

Может ему специально выделили на изучение ))

Может ему специально выделили на изучение ))

счастливый в квадрате)

Счастливый человек с кучей времени ?

Надеюсь что потраченное время сейчас мне вернется потом когда буду разверну и буду поддерживать прод. И да, пока что выделили времч на самооьучение))

Надеюсь что потраченное время сейчас мне вернется потом когда буду разверну и буду поддерживать прод. И да, пока что выделили времч на самооьучение))

скорее время ночью, когда кластер упадёт. Встаёт на прод оно то просто.

АХТУНГ!!Народ, кто юзает MongoDB-replicaset в k8s? Серсис конектится к монге и пытается создать данные, но в итоге пишет ошибку, связанную с тем что он пишет в реплику. Как с этми боротся вообще в k8s?

mongos?

mongos?

Не совсем понимаю. Предлагаете руками переназначит мастера?

Что?

Что?

Я не совсем понял что имел в виду

ещё вопрос: может кто знает способ прикрепления руками сгенерерированных wildcard-сертификатов (certbot) к кубику? пример: 1) есть домен example.com 2) есть wildcard-сертификат для него 3) есть куча сервисов с поддоменами типа app1.example.com, app2.example.com

Slava Посмотрите тут https://github.com/kelseyhightower/kube-cert-manager

Slava Посмотрите тут https://github.com/kelseyhightower/kube-cert-manager

Спасибо, но я пока не смог заставить cert-manager работать в кубике (наружу к letsencrypt запросы не идут, хотя проверил сеть тестовым подом - всё пингуется и работает)

но я научился руками сгенерированные серты прицеплять к ingress

certbot certonly <parameters-here> kubectl create secret tls <secret-name-here>—key=path/to/privkey.pem —cert=path/to/cert.pem —namespace=<namespace>

Народ, куда копать если в Prometheus пропали все targets ?

все поды Prometheus бегут

Народ, куда копать если в Prometheus пропали все targets ?

пропали активные или пропали совсем

вообще пропали, все

Попробуйте выключить и снова включить

передеплоил хельмом - заработало, я думаю что проблема в том что это DEV cluster который на ночь вырубается и вся дата удаляется . Если я переключу Prometheus к Persistent Volume , то такой проблемы в принципе быть не должно ? Или Persistent Volume тоже умрет если весь кластер уйдет в шатдаун?

пропали активные или совсем пропали?

список пустой?

пропали активные или совсем пропали?

вообще не было ни одного таргета

да был пустой список

если нет

значит прометей не смог считать конфиг

он где у вас

онфу по джобам с хостами он берет оттуда если они не активные - значит не может соскрапить метрики если нет списка - нет конфига

ну насколько я понимаю конфиг - в конфиг мапе , на самом деле я не посмотрел если конфиг мап не был удален

и не стыдно без предварительной оценки и чтения логов приходить с проблеомой?