В чем проблема?

В чем проблема?

2282 открытых issues ?

2282 открытых issues ?

У докера сейчас 3127

Про ceph даже говорить не буду

у кубера 2213

pull requests у ansible конечно атас

сам пытался, три раза отправлял, тупо всем пофигу

2282 открытых issues ?

Не удивил и не напугал. Я тебе скажу так что в коммерческом софте бывает и больше, но ты этого обычно не видишь

Не удивил и не напугал. Я тебе скажу так что в коммерческом софте бывает и больше, но ты этого обычно не видишь

мне доставляет что вы решили ответить на это сообщение дважды))

мне доставляет что вы решили ответить на это сообщение дважды))

Ну да, я потраил еще 30 сек своего драгоценного времени, цени это

на самом деле забавный факт что ранчер так популярен, ждем когда же они как и influx введут платную кластеризацию)

Не удивил и не напугал. Я тебе скажу так что в коммерческом софте бывает и больше, но ты этого обычно не видишь

Мы поражены вашим осведомлением

на самом деле забавный факт что ранчер так популярен, ждем когда же они как и influx введут платную кластеризацию)

Забавный факт использования ранчера для деплоя кубернетиса

Вот что забавляет

бля, превысил лимит сертов от letsencrypt. У них на страницы со ссылкой staging было число 30000, а теперь кидает на фак где пишут что 20 в неделю(

Забавный факт использования ранчера для деплоя кубернетиса

Да не все ли равно если все что не самописное в том или ином виде черный ящик

зато ранчером можно несколько кластеров рулить)

Сомнительное преимущество

Да не все ли равно если все что не самописное в том или ином виде черный ящик

Джангой тоже можно дергать баш скрипты внутри которых пхп

Но зачем???

вот я заметил что дефолтная кибана дико-дико медленная. Нельзя ее как-нибудь ускорить, чтоб она пушила логи в реалтайме через вебсокет какой?

г-ди, ну что за херь? Почему cert-manager не создает приватный ключ к SSL серту? Пользуюсь сраным ранчером 2.0, лучше бы наверное с кубернетиса с консолью начинал.

Ранчер не заменяет kubectl)

Ранчер не заменяет kubectl)

да ну не нифига похоже

да ну не нифига похоже

Расшифруете?

Расшифруете?

Имел ввиду что все равно с kubectl удобно проверять статус и тестить/откатывать деплой того же черт-манагера

Имел ввиду что все равно с kubectl удобно проверять статус и тестить/откатывать деплой того же черт-манагера

;)) ранчер показывает кластера, деплои и Ингрес удобно, ролаут и ролька

Но ковырять нутрянку из гуя - даже не мак оси не работает такое

Вот уже второй день борюсь с ssl. Дошел до того что чертманагер серты выдает, но в гуи часть с приватным ключом пустая. В чем дело может быть?

Вот уже второй день борюсь с ssl. Дошел до того что чертманагер серты выдает, но в гуи часть с приватным ключом пустая. В чем дело может быть?

В обзорах istio был на Медиуме хорошее описание как правильно сделать

Но тоже трахотлмия ещё та

В обзорах istio был на Медиуме хорошее описание как правильно сделать

я по двум гайдам делал, все минимально просто. cert-manager без доп. настроек, один ClusterManager, и один Certificate в yml файлах. Уверен на 100% что серты реальные, тк Letsencrypt уже говорит что лимит превышен.

я по двум гайдам делал, все минимально просто. cert-manager без доп. настроек, один ClusterManager, и один Certificate в yml файлах. Уверен на 100% что серты реальные, тк Letsencrypt уже говорит что лимит превышен.

мне сегодня убунта и центось выдали что LE церты не валидные, хотя браузер говорит что все ок и церты корректные видимо что-то протухло на глобальном линуксовом уровне

обновлялся 10 дней назад

мне сегодня убунта и центось выдали что LE церты не валидные, хотя браузер говорит что все ок и церты корректные видимо что-то протухло на глобальном линуксовом уровне

у LE ночью глюки были

интересно что принудительный SSL от клаудфлеря тоже не работает, это неимоверно бесит!

ок, с этим доменом сработало, новый ингресс контроллер просто создал

стандартная практика - в каждом кластере свой прометей, хранит метрики где-то неделю отдельно стоит другой прометей, в который отправляются только избранные метрики из всех кластеров, и тут они уже хранятся несколько месяцев для аналитики

Верхний прометей может быть одним из кластеров или это плохой дизайн?

а вот еще пушка - конда меняю configMaps или секреты, привязанные к поду, сами поды на это не реагируют и не перезапускаются. Почему?

Верхний прометей может быть одним из кластеров или это плохой дизайн?

он может быть в одном из кластеров кубера у прометея в принципе нет кластеризации, поэтому этих "верхних" прометеев лучше иметь несколько

в разных кластерах исессно

что бы унифицировать инфру лучше иметь "верхний прометей" в каждом кластере, но тогда это ресурсы и бабло)

Это та ой дикий костыль держать два Прометея, но вариантов - нет

Почему костыль-то?

Хотя нет, мне пофиг

он может быть в одном из кластеров кубера у прометея в принципе нет кластеризации, поэтому этих "верхних" прометеев лучше иметь несколько

А почему тогда не просто федерацию когда каждый к каждому все тянет? Настраивать геморойнее?

А почему тогда не просто федерацию когда каждый к каждому все тянет? Настраивать геморойнее?

прометей не предназначен для долговременного хранения поэтому операционные прометеи хранят данные неделю (адовая куча метрик для исследования линуксойдами) а аналитические 2 месяца (порядка 500 метрик жив/мертв) этого всем хватает, дальше по ресурсам оно получается очень дорого

прометей не предназначен для долговременного хранения поэтому операционные прометеи хранят данные неделю (адовая куча метрик для исследования линуксойдами) а аналитические 2 месяца (порядка 500 метрик жив/мертв) этого всем хватает, дальше по ресурсам оно получается очень дорого

Хм.. стандартные хелмы дадут развернуть две штуки без танцев?:)

а ещё есть project thanos

прометей не предназначен для долговременного хранения поэтому операционные прометеи хранят данные неделю (адовая куча метрик для исследования линуксойдами) а аналитические 2 месяца (порядка 500 метрик жив/мертв) этого всем хватает, дальше по ресурсам оно получается очень дорого

И по твоему опыту - прометеем можно заметить мониторинг уровня операционной системы /заббикже?

лучше эту дискуссию пернести в церковь метрик

к куберу она имеет мало отношения имхо

Хм.. стандартные хелмы дадут развернуть две штуки без танцев?:)

без танцев ничего не дадут) но я вроде как танцор надо будет config map для кубера сформировать, что бы второй прометей знал откуда и какие данные забирать

к куберу она имеет мало отношения имхо

сам знаешь какой там треш начнется, тут заббикс уже упоминался))

поделом

И по твоему опыту - прометеем можно заметить мониторинг уровня операционной системы /заббикже?

если облако - то можно если куча железа, оссобенно сетевого - то заббикс тут еще может мускулами поиграть)

если облако - то можно если куча железа, оссобенно сетевого - то заббикс тут еще может мускулами поиграть)

Хмммм

если облако - то можно если куча железа, оссобенно сетевого - то заббикс тут еще может мускулами поиграть)

у заббикса вообще любимое дело мускулями поиграть

вместо нормального хранилища метрик

у заббикса вообще любимое дело мускулями поиграть

тогда не играть, а убивать)) да там без шардинга сложно жить больше полугода

Хмммм

опять таки, что мы считаем OPEX или CAPEX ? я так понимаю посчитать нам важно)

опять таки, что мы считаем OPEX или CAPEX ? я так понимаю посчитать нам важно)

Ты затраты за обслуживание в виде времени считаешь?

Ну и на первоначальную настройку)

Ты затраты за обслуживание в виде времени считаешь?

не, я считаю оборудование потому что прометей очень по памяти прожорливая сволочь

это смотря как ты его настроишь

ага, поэтому я и говорю - давайте оперативные данные хранить неделю, всем будет хорошо :)

авитовцы вон, сутки хранят, экстремалы)

у нас работает %)

@Andorka а у вас bionic?

да

xenial только на одном хосте

используете systemd-resolved? :)

Он если что там дефолтом идет

неа

у нас пока довольно сырое

настоящего прода пока нету

интересно за каким боком его в новую убунту запихнули

про netplan значит вопросов не возникает

ох

но вообще netplan вполне здраво выглядит

угу. только адреса навешанные не им скидывает с инетрфейса

а вот systemd-resolved из коробки не работает, хотя наверное это специфика моей конфигурации

А вот вопрос - у меня один под-аписервер для проекта сидит на той же ноде, на которой расположена и база постгрес. База не докеризирована тк очень большая. Мне нужно было подключить под к ней, в итоге в его свойствах включил Use Host's Network Namespace. Теперь очевидно не работают rolling updates, тк в один момент времени не запускаются более 2 контейнеров из-за конфликта портов. Можно как-то иначе сделать подам видимым локальный порт ноды на которой они расположены?

можно в env например выгрузить адрес хоста на котором запущен под

можно в env например выгрузить адрес хоста на котором запущен под

но я не хочу на хосте открывать порт для всего мира. А через localhost:port под сервиса не видит, если сеть изолирована

может контейнер-прокси для этого есть?

ну не открывай

фаервола нет что ли?

@blkmrkt можно unix-сокет пробросить в контейнер как вариант

фаервола нет что ли?

неа. А какой посоветуете? У меня там чистый дебиан с докером и постгрей

@blkmrkt можно unix-сокет пробросить в контейнер как вариант

а это проще чем трафик от постгреса перебросить?

кстати с сокетом неплохой вариант

а это проще чем трафик от постгреса перебросить?

Да

а вот еще пушка - конда меняю configMaps или секреты, привязанные к поду, сами поды на это не реагируют и не перезапускаются. Почему?

потому что и не должны?

неа. А какой посоветуете? У меня там чистый дебиан с докером и постгрей

iptables?