+

уже задеплоеный pod можно мигрировать на соседнюю worker node без остановки пода?

а то что-то в доках не описано такого кейса

там кроме контроллера и дефолтного бэкенда нужно еще сам инжинкс пустить

можно и так сделать, за nginx'ом весь кластер спрятать (но это уже мимо куба)

Контроллер и есть nginx

неа, у меня без шага Baremetal не было сервиса егошного

можно и так сделать, за nginx'ом весь кластер спрятать (но это уже мимо куба)

так ингрессы для этого и нужны, чтобы выставить частично наружу куб, чтобы допом не ставить проксю

+

согласен, но кому-то легче yum|apt install nginx

уже задеплоеный pod можно мигрировать на соседнюю worker node без остановки пода?

Нет

спасибо

daemonset + hostport

угу вместо http https healthcheck а про то чего в гцп нет это отдельная история например там нет нат

Nat gateway же есть или вы о чём? https://cloud.google.com/solutions/using-a-nat-gateway-with-kubernetes-engine

Nat gateway же есть или вы о чём? https://cloud.google.com/solutions/using-a-nat-gateway-with-kubernetes-engine

прочитайте статью внимательнее. там предлагают сделать инстанс группу с виртуалкой фаервольный и роутинг рул на нее по тегу с нод куба. это ни в каком месте не облачный snat

это workaround пока они не сделают cloud nat полноценный

прочитайте статью внимательнее. там предлагают сделать инстанс группу с виртуалкой фаервольный и роутинг рул на нее по тегу с нод куба. это ни в каком месте не облачный snat

С aws перехожу, увидел знакомое nat gateway, подумал, что gcloud не отстаёт, но если, как вы говорите, то звучит геморойнее как-то :(

обещают скоро доделать, а пока там есть терраформ модуль

/report

первый - бот, второй - хозяин бота

@DenisIzmaylov @SinTeZoiD spam

это workaround пока они не сделают cloud nat полноценный

Cloud NAT уже звучит ужасно

Cloud NAT уже звучит ужасно

Ну чтоб понятно было

Cloud NAT уже звучит ужасно

Именно

А кто чем пользуется для хранения переменных окружения с хостами или часто используемыми настройками? Я так понимаю лучшая практика, это хранение доступов в секретах, а настроек в конфиг мапах?

В консул потом пихать все

Именно

а чем ужасно? )

кто-нибудь запускал netty в кубе ?

задача: у приложения есть некий service.http.address, приложение при старте пытается биндить его как хостнейм (свой адрес), во внутрях netty делается bind, самая последняя команда в стеке (где, собсно, и возникает ошибка) - sun.nio.ch.Net.bind0(Native method), - при её вызове получаю ошибку: java.net.BindException: Cannot assign requested address

что-то сетевое не даёт сделать эту операцию

под, где запускается приложение, имеет сервис и резолвится по хостнейму

хостнейм = name из конфига деплоймента и сервиса

полный domain name выглядит как hostname.namespace.svc.cluster.local

Нельзя ему 0.0.0.0 скормить в настройках?

можно

там один параметр в два места сетится, пока разбил на два отдельных параметра - вроде взлетело

но пинг от пода к поду пока дико долгий

задача: у приложения есть некий service.http.address, приложение при старте пытается биндить его как хостнейм (свой адрес), во внутрях netty делается bind, самая последняя команда в стеке (где, собсно, и возникает ошибка) - sun.nio.ch.Net.bind0(Native method), - при её вызове получаю ошибку: java.net.BindException: Cannot assign requested address

Либо порт занят, либо недостаточно прав, чтобы прибить порт

там не с портом проблема, а с хостнеймом

убираю хостнейм из параметров приложения - всё взлетает

Да зачем нужен хостнейм, юзай четыре ноля внутри контейнера

там один параметр в два места сетится, пока разбил на два отдельных параметра - вроде взлетело

вот

уже не нужен

Я не понимаю как забиндить хостнейм можно

Все равно порт без прокидывания через докер никому не будет виден

Я не понимаю как забиндить хостнейм можно

очевидно он резолвится в сервис, а этот айпишник понятное дело запрашивающему не принадлежит

тут скорее дело в другом: у пода в /etc.hosts на его IP забинден хостнейм типа app-<hash>, а внутри приложения делается бинд на app (как для сервиса, но сервис - это не под, поэтому ловим фэйл)

тут скорее дело в другом: у пода в /etc.hosts на его IP забинден хостнейм типа app-<hash>, а внутри приложения делается бинд на app (как для сервиса, но сервис - это не под, поэтому ловим фэйл)

Там же вроде как куб днс есть. Если к сервису стучаться, то app.namespace.cluster.local, или не?

App.namespace.svc.cluster.local

Там же вроде как куб днс есть. Если к сервису стучаться, то app.namespace.cluster.local, или не?

да, есть, и оно работает. Уже нашёл проказника, проблема ушла ) (zookeeper, хранящий discovery-инфраструктуру, водил меня за нос)

Привет Подскажите по поводу подов Создал я мастер, включил в него поды, потом по какой то причине один из подов выключил, при повторном включении он автоматически не подключается к мастеру. так как срок действия ключа истек. Есть ли по этому поводу какой то best practice ?

подключил под к мастеру?)

Ага, kubectl join ..

воркер это не под

не знаю как правильно это называет

тьфу, ну да, туплю

воркер\миньон

миньонами уже вроде не называют

добавил ноду к мастеру в обще

ERROR: S client not available

ну это условно:)

забросил свой тестовый кластер на k8s и в очередной раз увидел что он у меня развалился

Что используете под хранилище ? Смотрел в сторону ceph и glusterfs, ceph удалось завсти быстрее

Привет, подскажите плиз с вопросом- поднял кластер с calico, из ноды база доступна а из подов нет, какая настройка играет роль? Куда копать?

ребят, подскажите в чём, дело. Выпускаю сертификат через cert-manager. вроде все выпускается но в качестве Issuer стоит Fake LE Intermediate X1 kubectl describe certificate пишет что Conditions: Last Transition Time: 2018-07-16T06:18:07Z Message: Certificate issued successfully Reason: CertIssued Status: True Type: Ready

ребят, подскажите в чём, дело. Выпускаю сертификат через cert-manager. вроде все выпускается но в качестве Issuer стоит Fake LE Intermediate X1 kubectl describe certificate пишет что Conditions: Last Transition Time: 2018-07-16T06:18:07Z Message: Certificate issued successfully Reason: CertIssued Status: True Type: Ready

а у тебя issuer не на стейджинг-сервер LE указывает?

вроже нет, у меня вобще один. просто letsenctypt

issuerRef: name: letsencrypt kind: ClusterIssuer и apiVersion: certmanager.k8s.io/v1alpha1 kind: ClusterIssuer metadata: name: letsencrypt namespace: infra

А Rook никто не пробовал? Я поставил на тестовый кластер, вроде работает без проблем уже несколько месяцев. MySQL и rabbit норм работают на его вольюмах

issuerRef: name: letsencrypt kind: ClusterIssuer и apiVersion: certmanager.k8s.io/v1alpha1 kind: ClusterIssuer metadata: name: letsencrypt namespace: infra

а спека иссьюера?

Так вроде написано что если clusterIssuer то он как бы как Issuer тока для всех namespaces

спека его где?

apiVersion: certmanager.k8s.io/v1alpha1 kind: ClusterIssuer metadata: name: letsencrypt namespace: infra spec: acme: server: https://acme-staging-v02.api.letsencrypt.org/directory email: email@email.com privateKeySecretRef: name: letsencrypt http01: {}

apiVersion: certmanager.k8s.io/v1alpha1 kind: ClusterIssuer metadata: name: letsencrypt namespace: infra spec: acme: server: https://acme-staging-v02.api.letsencrypt.org/directory email: email@email.com privateKeySecretRef: name: letsencrypt http01: {}

server: https://acme-staging-v02.api.letsencrypt.org/directory

ойййй

Спасибо.

А Rook никто не пробовал? Я поставил на тестовый кластер, вроде работает без проблем уже несколько месяцев. MySQL и rabbit норм работают на его вольюмах

БД на ceph? Выглядит подозрительно

Ну это не боевая Бд, чисто попробовать. Но работает что самое интересное

БД на ceph? Выглядит подозрительно

а на чём боевые БД держат?

Ребят как правильно хранить yaml файли которые деплоят приложения, в гииэте вместе с проектом в отдельной ветке и при деплое сливать ее?

server: https://acme-staging-v02.api.letsencrypt.org/directory

а мне теперь надо же как то отозвать серт ? или как ?

а мне теперь надо же как то отозвать серт ? или как ?

нужно просто заставить cert-manager его перевыпустить. подозреваю, что удаления сикрета с ключами для этого будет достаточно, но смотри в доки.

всем привет, есть 2 пода, в них по одному приложению. Но нужно конфиг для приложения 1 тянуть из 2. Конфиг соотвественно должен жить/умирать/обновлятся вместе со 2 приложением. Я думаю про тома, но какой вид лучше выбрать?(просьба s3,ceph не предлагать, ради 1 конфига,это оверхед)

Ну либо другие варианты, как это можно организовать.

я для тестов и стейджинга организовал локальное хранилище на диске

Джобой доставлять конфиг?

pv (local) + pvc

Конфиг хранить можно в configmap, consul, vault