/Users защищена от чтения левыми пользователями

/tmp/ локальная хосте в minikube не шарится же

а, ну тогда всё

ну короче это ваша мако-миникубо-проблема

запусти на нормальном линуксе нормальный кубер и будет всё ок

по умолчанию шарится только /Users/...

ну в /Users/pgdata

запусти на нормальном линуксе нормальный кубер и будет всё ок

)

у тебя закрывающая скобка без открывающей

syntax error

ну в /Users/pgdata

там ничего без админских прав не сделаешь вообще

как вариант, запускай с user 1000:1000 ну или какой у тебя id в системе

тогда будет работать

пересобирать образ postgre?

ты запускаешь программу в 1) контейнере 2) в виртуалке прокидываешь ей директорию через это всё и удивляешься что что-то не работает

ну заявлено что должно работать)

securityContext: fsGroup: 1000 runAsUser: 0

пересобирать образ postgre?

вот здесь поменяйте 0 на ваш id

это я давно уже пробовал - не катит

id точно ваш был? fsGroup стоит убрать

ну и пермиссии на себя забрать в дире, куда данные будут складываться, потому что предыдущие попытки вам наверняка в 999 выставили владельца

id точно ваш был? fsGroup стоит убрать

securityContext: runAsUser: 501 $ id uid=501(oleg) эффекта не дало

а владельца поменяли?

на диру

ага, индифферентно

пробовал не vboxsf, а что-нибудь другое?

нет, мне надо чтобы из коробки работало. поставил minikube и вперед. В противном случае овчинка выделки не стоит

ну поставь вагрант

нее

почему?

потому что minikube православно

Это ты придумал?

Running Kubernetes Locally with Vagrant Stop. This guide has been superseded by Minikube which is the recommended method of running Kubernetes on your local machine. ) https://kubernetes-v1-4.github.io/docs/getting-started-guides/vagrant/

Нк ты уже сутки трахаешься с проблемами миникуба

Сутки это много или мало? :-)

Для вот этой задачи и попыток решения проблемы миникуба с поощью разных докер-образов имхо уже предел

я с миникубом сутки и почти переехал на него с docker-compose в разработке

"почти переехал"

я с миникубом сутки и почти переехал на него с docker-compose в разработке

в облаке?

"почти переехал"

:D

"почти переехал"

это прям хорошо

Осталось всего лишь вторые 80% работы сдлать и будет хорошо

почти это как раз про постгре, файло которого оставлю внутри миникуба

Если не прокидывать волюм с хоста, то вангую что всё будет просто работать

в волюме с хоста весь самый цимус

В миникубе можно прокидывать например через нфс?

В вагранте точно можно

В миникубе можно прокидывать например через нфс?

На маке оно даже если заведётся, то ненадолго

Ну это лучше чем с вбокссф

Ничем не лучше, шареные волюмы на маке скорее не работают, так что лучше поставить виртуалку и в ней всё крутить

Я уже предложил вагрант

Технически миникуб тоже в виртуалке

Обрати внимание, что речь про шареные волюмы, а техлогия не важна, в вагранте тоже их скорость работы смешная, и я молчу про надежность

У нас приемлимо работало

Для дев-среды

Хотя вру, база была просто внутри виртуалки

Может кто поборол helm install --wait foo не фейлит релиз, когда внутри Job завершается неуспешно? apiVersion: batch/v1 kind: Job metadata: name: "{{.Release.Name}}" annotainion: "helm.sh/hook": "pre-install" spec: backoffLimit: 1 activeDeadlineSeconds: 10 template: spec: containers: - name: pi image: ruby:2.5 command: ["ruby", "-e", "asdf"] restartPolicy: Never

--wait там вообще странно работает. я так понял wait означает дождаться готовности всех деплойментов перед запуском хуков. то есть он выкатывает все объекты, ждет пока они поезеленеют, а только потом начинает хуки запускать

Коллеги, а если у Deployment стоит imagePullPolicy: Always, образ в реестре обновили, то kubectl apply -f yaml же не заставит Deployment этот образ выкачать, т.к. сам yaml не поменялся? Как заставить его вытянуть новый образ?

у тебя же всё равно рестарт будет?

можно переудалением подов сделать, например

Привет! С cert-manager в кубернетесе бьюсь, вроде настроил что он реагирует на ингрессы с анотацией которым нужен серт и успешно их берет от Letsencrypt. Только вот вижу что один RSA ключ появился в Secrets неймспейса cert-manager, куда он был задеплоен, https магически не заработал. Проблема еще в том что я k8s учусь через Rancher 2.0, и наверное не понимаю какого-то концепта. В доках кубернетиса пишут что неймспейсы используются для изоляции виртуальных кластеров друг от друга внутри большого кластера. Как же тогда cert-manager видит аннотации на моих ингрессах и почему ключи не появляются в меню Certificates Ранчера?

--wait там вообще странно работает. я так понял wait означает дождаться готовности всех деплойментов перед запуском хуков. то есть он выкатывает все объекты, ждет пока они поезеленеют, а только потом начинает хуки запускать

если смотреть сюда - https://github.com/helm/helm/blob/master/pkg/kube/wait.go#L53 то оно вообще не смотрит статус в Job

Может кто поборол helm install --wait foo не фейлит релиз, когда внутри Job завершается неуспешно? apiVersion: batch/v1 kind: Job metadata: name: "{{.Release.Name}}" annotainion: "helm.sh/hook": "pre-install" spec: backoffLimit: 1 activeDeadlineSeconds: 10 template: spec: containers: - name: pi image: ruby:2.5 command: ["ruby", "-e", "asdf"] restartPolicy: Never

Есть хуки, которые за это отвечают. Погугли все хуки хелмп

Есть хуки, которые за это отвечают. Погугли все хуки хелмп

уже https://github.com/helm/helm/blob/master/docs/charts_hooks.md

а кто-нибудь знает что с доками куба происходит?

@CrusaderX не смог подобрать правильный

ох накажут тебя сейчас

@SinTeZoiD

ох накажут тебя сейчас

ага

кто знает: 17.03 по прежнему рекомендуемая версия докера?

кто знает: 17.03 по прежнему рекомендуемая версия докера?

Да.

спс

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.11.md#external-dependencies

кто знает: 17.03 по прежнему рекомендуемая версия докера?

Installing Docker On each of your machines, install Docker. Version 17.03 is recommended, but 1.11, 1.12 and 1.13 are known to work as well. Versions 17.06+ might work, but have not yet been tested and verified by the Kubernetes node team. Keep track of the latest verified Docker version in the Kubernetes release notes. (c) https://kubernetes.io/docs/setup/independent/install-kubeadm/

а, вон оно что, страничка переехала, а гугл еще не обновился

ведет сюда: https://kubernetes.io/docs/tasks/tools/install-kubeadm/

Кстати, @kvaps, спасибо за коммент на stackoverflow по поводу ротации сертификатов аписервера, очень помогло

Кстати, @kvaps, спасибо за коммент на stackoverflow по поводу ротации сертификатов аписервера, очень помогло

а че где?

а, вон оно что, страничка переехала, а гугл еще не обновился

я обычно не пользуюсь гуглом для похода в доку кубера, доки очень нестабильные всегда

а че где?

https://stackoverflow.com/questions/46360361/invalid-x509-certificate-for-kubernetes-master/47284147

Коллеги, а если у Deployment стоит imagePullPolicy: Always, образ в реестре обновили, то kubectl apply -f yaml же не заставит Deployment этот образ выкачать, т.к. сам yaml не поменялся? Как заставить его вытянуть новый образ?

Разрулил, делюсь как: Было: kubectl apply -f dev.yaml Стало: kubectl patch -f dev.yaml -p "{\"spec\":{\"template\":{\"metadata\":{\"labels\":{\"date\":\"`date +'%s'`\"}}}}}"

В связи с этим, нубский вопрос, в чём разница между apply и patch и в каких случаях нельзя использовать одно или другое для обновления сервисов? :)

Сервисы удалил?

finalizer вручную удали?

блин, а как же длинные трейсы? =)

у fluentd есть плагин которые умеет для некоторых языков детектить трейсы и склеивать, возможно такой плагин не один

блин в bionic нет 17.03 версии :-/

но есть 17.12

тут просто обидно будет если сообщение не долетит, не успеет отправится. в общем как то одного единообразного решения не получается

не нужно придумывать велосипед имхо, нужно всегда писать в stdout/stderr контейнера. А вот как оттуда выгребать и куда слать логи - уже не приложения отвественность

Коллеги, а если у Deployment стоит imagePullPolicy: Always, образ в реестре обновили, то kubectl apply -f yaml же не заставит Deployment этот образ выкачать, т.к. сам yaml не поменялся? Как заставить его вытянуть новый образ?

юзать норм теги а не latest?

Сервисы удалил?

неа, думал просто натянуть сверху другие ингрессы

но есть 17.12

оно вроде не поддерживается официально еще

В общем оставил пока файло pg внутри minikube - все работает. С подмаунченными папками из хоста именно для для pgdata не решил, из других контейнеров запись в hostPath идет ОК. chown 999:999 и прочее не помогает.

chown где происходит? это должен быть инит контейрен бегущий от рута, иначе же не выйдет сделать chown если контейнер сам тоже бежить от юзера pg_user 999