@kubernetes_ru
Victor11.07.2018
12:30:03
12:30:03
И ещё, это косяк кубадма, или же сами кублеты не могут
Roman11.07.2018
12:32:29
12:32:29
https://github.com/kubernetes/kubernetes/blob/32dc6cc08aa0349d44aa3109f0a718cbb51fb101/cmd/kubeadm/app/phases/certs/pkiutil/pki_helpers.go#L199
сам кубадм точно не может
Victor11.07.2018
12:33:09
12:33:09
мдэ...
ну это было понятно из сообщения-обработчик такой ситуации есть в бинаре...
GoogleVictor11.07.2018
12:34:12
12:34:12
А куб умеет? быть может, я на гите кубадма запилю фиче-реквест? или же, всё ещё глыбже?
Roman11.07.2018
12:37:15
12:37:15
судя по https://github.com/kubernetes/kubernetes/issues/20217 проблем с ECDSA быть не должно.
А стоит ли тратить время на это? Вроде бы не то место, чтобы имело значение
Victor11.07.2018
12:39:41
12:39:41
Дык, в общем-то, да. Перфекционизм взыграл. Поменять всё на RSA и редеплойнуться дело 15 минут) Спасибо, в любом случае
Sergey11.07.2018
13:18:08
13:18:08
Джентльмены, логосрач.
что нынче модное и трушное?
ELK?
EFK?
ERK?
graylog?
Alan11.07.2018
13:20:12
13:20:12
Иногда складывается впечатление, что моднее их вообще не писать)
Alexander11.07.2018
13:25:07
13:25:07
Посоны, cron job должен плодить поды?
Просто он создаёт новый под, я ожиал что он будет просто пересоздавать
AndreyAndor11.07.2018
13:27:16
13:27:16
Просто он создаёт новый под, я ожиал что он будет просто пересоздавать
там есть варианты, посмотри в референсе
Alexander11.07.2018
13:31:55
13:31:55
Maksim11.07.2018
13:35:58
13:35:58
GoogleAndor11.07.2018
13:39:30
13:39:30
что "побороть"?
Alexander11.07.2018
13:44:39
13:44:39
А можно cron job привязать к определённой ноде
чтобы поды подымались на заданной ноде
Andor11.07.2018
13:46:13
13:46:13
вроде в джобе можно было
Anton11.07.2018
13:48:13
13:48:13
А можно cron job привязать к определённой ноде
ну раз cronjob плодит pods в итоге, то все механизмы, что к подам применяются, можно использоватьMaksim11.07.2018
13:48:16
13:48:16
Artem11.07.2018
13:49:47
13:49:47
Товарищи,а можно ли шарить секреты между namespace ?
Anton11.07.2018
13:54:26
13:54:26
Andrey11.07.2018
13:55:49
13:55:49
В API reference можно глянуть, там в HTTP подробностях видно, если не в неймспейс.
GoogleArtem11.07.2018
13:56:48
13:56:48
Нет. Зачем?
для каждого девелопера будет свой ns, который создается через дженкинс
и в приложении, как и везде собсно, есть такие данные, которые нельзя залить на гит, пароли, токены и подобная инфа
т.е. пришел новый девелопер - нажал в дженкинсе кнопку, ему создалось свое окружение с его доменом и т.п.
а этот вариант не получится, если предварительно не создать секретыAndor11.07.2018
13:57:35
13:57:35
ну создавай секреты сразу после создания неймспейса
заодно сделаешь чтобы секреты были уникальны для неймспейса
VadimArtem11.07.2018
13:58:04
13:58:04
ну создавай секреты сразу после создания неймспейса
тогда я не пойму, а значения секретов куда хранить ?Andrey11.07.2018
13:58:07
13:58:07
для каждого девелопера будет свой ns, который создается через дженкинс
и в приложении, как и везде собсно, есть такие данные, которые нельзя залить на гит, пароли, токены и подобная инфа
т.е. пришел новый девелопер - нажал в дженкинсе кнопку, ему создалось свое окружение с его доменом и т.п.
а этот вариант не получится, если предварительно не создать секреты
Есть два стула:
1. Сделай оператор, который при создании namespace'а будет раскопировать туда;
2. Создай стандартный набор секретов в kube-system или default namespace и раскопируй оттуда через Jenkins.Andor11.07.2018
13:58:12
13:58:12
в секреты :)
Artem11.07.2018
13:59:08
13:59:08
Andor11.07.2018
13:59:17
13:59:17
зачем?
они же уникальные для каждого?
храни сразу в кубере
у тебя же какое-то девелоперское окружение
Artem11.07.2018
14:00:46
14:00:46
есть уникальные ждя каждого, есть общие
уникальные - коннекты к базам и т.п.
общие - airbrake, newrelic например
уникальные я и хотел генерить на лету
общие - хотел создать в каком то NS и заюзать для нужных девелоперов
Andor11.07.2018
14:01:07
14:01:07
ну общие у тебя где-то в дженкинсе могут лежать
а уникальные на ходу создаваться и больше нигде не храниться
по-моему норм
Artem11.07.2018
14:02:04
14:02:04
ну общие у тебя где-то в дженкинсе могут лежать
я думал о том, что использовать переменные дженкинса, но меня почемуто смущает мысль привязываться к дженкинсуAndor11.07.2018
14:02:23
14:02:23
пфф
Huan11.07.2018
18:19:46
18:19:46
привет всем. подскажите где хранится конфиг nginx-ingress со конфигами всех ингресс правил?
Artyom11.07.2018
18:22:39
18:22:39
в инресс контроллере
GoogleArtyom11.07.2018
18:23:57
18:23:57
ищи под с именем nginx-ingress-controller, заходи в него kubectl exec -it <pod> /bin/bash
И там ищи
Huan11.07.2018
18:24:17
18:24:17
спасибо. вижу, но там нет настроек, которые передаются в аннотации
хотя все что в аннотации было применено для одного правила - работает
Artyom11.07.2018
18:25:18
18:25:18
может аннотацию не так указал и он не понял, как её применять
Huan11.07.2018
18:25:32
18:25:32
так она применилась
Artyom11.07.2018
18:25:33
18:25:33
там надо писать явно, что аннотация для nginx ingress
а, ну так если применилась, то в чем вопрос
Huan11.07.2018
18:26:04
18:26:04
nginx.ingress.kubernetes.io/client-body-buffer-size: 4m
AdminERROR: S client not available
Artyom11.07.2018
18:27:25
18:27:25
https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/nginx-configuration/annotations.md
тут говорится, что nginx.ingress.kubernetes.io/client-body-buffer-size - это строка
может её в кавычки надо?
Huan11.07.2018
18:28:03
18:28:03
указывал в кавычках
Artyom11.07.2018
18:29:09
18:29:09
хм
Huan11.07.2018
18:29:32
18:29:32
annotations:
nginx.ingress.kubernetes.io/client-max-body-size: "4m"
nginx.ingress.kubernetes.io/proxy-buffer-size: "16k"
Artyom11.07.2018
18:30:41
18:30:41
https://github.com/nginxinc/kubernetes-ingress/issues/246
Вот, тут говорится, что не такая аннотация должна быть, может твой случай
GoogleHuan11.07.2018
18:31:30
18:31:30
а в конфиге на контроллере - client_max_body_size "1m";
Artyom11.07.2018
18:32:02
18:32:02
» make sure you're using the correct image. nginxdemos/nginx-ingress:1.1.1 is the image of this Ingress controller.
Huan11.07.2018
18:32:57
18:32:57
"image": "quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.10.2",
Artyom11.07.2018
18:33:24
18:33:24
И вот оттуда же ссылка
https://github.com/nginxinc/kubernetes-ingress/tree/master/examples/customization
Тут вообще аннотация nginx.org/client-max-body-size
попробуй nginx.org/client-max-body-size
Huan11.07.2018
18:34:34
18:34:34
пробовал - так вообще не работает
Andor11.07.2018
18:35:14
18:35:14
вы не путайте nginx и nginxinc контроллеры
Artyom11.07.2018
18:37:55
18:37:55
Тогда не знаю, может конфиг не перепнулся и там старое значение осталось
Хотя странно, должен перепнуться
Huan11.07.2018
18:41:23
18:41:23
но при этом правило работает
Valera11.07.2018
19:44:23
19:44:23
Всем привет. Коллеги, а как на GKE правильно выставить наружу сервис через ingress, если сервис отвечает 301 на 80 порту (переадресовывает на 443). У меня из-за этого healthcheck фейлится и этот backend наружу не выставляется, соответственно
На AWS можно было указать на LB какой код значит ок, т.е. например 200-399..
и когда там healthcheck фейлился на все ноды, то трафик продолжали пускать на всё, а тут тупо закрывают
Stas11.07.2018
20:21:26
20:21:26
и когда там healthcheck фейлился на все ноды, то трафик продолжали пускать на всё, а тут тупо закрывают
Если ты используешь GKE ingress который на их HTTP/S LB сделан, то для него я не вижу возможности указать кастомный код ответа https://cloud.google.com/compute/docs/reference/rest/v1/httpsHealthChecksЯ бы наверное решал эту проблему через nginx-ingress перед которым обычный forwarding rule
ой я чет туплю кажись, можно же тот хелсчек удалить и натравить https healthcheck, не?
Dmytro11.07.2018
21:05:32
21:05:32
Коллеги, такой вопрос, а как лучше всего мониторить место в PV? Node_exporter, запущенный на хосте, решительно не хочет видеть эти диски, мб ему прав не хватает конечно. Недавно zookeeper подкинул с этим проблем)
у меня бежит для этого sidecar контейнерПривет. Столкнулся с тем, что если ставить prometheus-operator в kubernetes 1.10+ через helm - тиллеру не хватает прав на то, чтобы поставить кластерроль и кластерроль биндинг (походу дефолтное поведение). Кто-то сталкивался? Кто как обходил? Просто накидывали прав тиллеру, или как-то изящнее можно?
нужно добавить недостающие права clusterrole с которой бежит тиллерGKE. Я просто не совсем понимаю в их примере https://cloud.google.com/kubernetes-engine/docs/tutorials/persistent-disk В Step 6 они убивают pod и он пересоздаётся на другой ноде. Как он продолжает использовать диск с другой ноды?
вольюм примаунтится на другую ноду просто (с помощью драйвера вольюма для каждого клауд провайдера который идет в составе куба, в ашем случае - GKE)Например
Есть Nginx с конфигом из конфигмапа
Поменял конфиг, как сделать, чтобы при helm upgrade изменения прилетели в nginx?
https://github.com/kubernetes/helm/blob/master/docs/charts_tips_and_tricks.md#automatically-roll-deployments-when-configmaps-or-secrets-changeДрузья, подскажите как хэлму сказать чтобы он ConfigMap обновил при использовании helm upgrade myapp?
см. ссылку вышеподкажите чем можно сделать self-signed серт для ingress который деплою через helm в minikube? это для локальной разработки, решения которые генерят letsencrypt не подходят т.к. нет домена, он через хосты прописывается. и поскольку это будет постоянно убиваться/подниматься решения типа cert-manager не подходят тоже, как по мне
нагуглил helm-certgen который похоже решает проблему так как хотелось, но у нас разработка с винды :(
а почему нельзя зарегать какой-то домен для локальной разработки за 5 баксов?
Открыть в Telegram