Тогда уж лучше canal, там flannel для сети и calico для политик.

и тогда не нужно этот флаг на инстансах трогать

+1, у меня этот вариант 2 года в проде уже крутится

но перфоманс наверное еще хуже

Ну он сейчас не критичен, короче, будем посмотреть. Скорее остановлюсь на canal.

Кто-то запускает кластера кубера на амазоне с автоскейл группами и калико?

зачем тебе калико в амазоне?

ну а что туда притащить то из скриптовых? Lua юзается как минимум нжинксом, редисом, варнишем и наверное другими тулзами тоже, выглядит логично же, нет?

не, я хочу понять зачем там скриптовый язык

зачем тебе калико в амазоне?

Политики сетевые в кубере

не, я хочу понять зачем там скриптовый язык

странный вопрос, чтобы вместо простыни yaml писать более компактно и юзабельно?

странный вопрос, чтобы вместо простыни yaml писать более компактно и юзабельно?

а как жи версионность?

странный вопрос, чтобы вместо простыни yaml писать более компактно и юзабельно?

для этого лучше использовать dsl с синтаксическим сахаром, но никак не тюринг полный императивный язык программирования

для этого лучше использовать dsl с синтаксическим сахаром, но никак не тюринг полный императивный язык программирования

ну пожалуй соглашусь условный puppet с вставками на ruby или salt-stack с вставками на python

это хоть и больно местами, но можно жить

ага

вообще helm прошёл мимо меня и я не очень понимаю зачем оно вот так

куцее и кривоватое

мне из последнего хашикорповский hcl нравится, не без косяков, но все таки

а вообще, всем CRD и контроллеры для них кастомные, и никто не уйдет обиженным :)

странный вопрос, чтобы вместо простыни yaml писать более компактно и юзабельно?

так здесь та же проблема что и с оригинальным хельмом - в кубернетес ты суешь не lua, а именно готовый yaml. И тогда вопрос - зачем тогда вообще хелм, если темплейтор на lua можно написать свой и удобный?

и охеревать каждый раз когда в кубе будет меняться API

и охеревать каждый раз когда в кубе будет меняться API

ты какбы сам управляешь составом своего CRD

именно

(у нас кстати CI переходит на такую схему, народу нравиться)

да и то, что стало бетой имеет стабильный api с обратной совместимостью

ты какбы сам управляешь составом своего CRD

Та я в курсе

Та я в курсе

ну вот и версионируй

(у нас кстати CI переходит на такую схему, народу нравиться)

завидую, наши вообще не могут себе мозги сломать, что-бы понять как кубер работает

ну вот и версионируй

Справедливо

зачем тебе калико в амазоне?

да, хотел уточнить, а что не так то?

да, хотел уточнить, а что не так то?

Не, просто интересно было

ааа, ну если просто — мы будем запускать недоверенный код в k8s и нам нужна изоляция сетевая на уровне кубера, как-то так

ааа, ну если просто — мы будем запускать недоверенный код в k8s и нам нужна изоляция сетевая на уровне кубера, как-то так

а калико в амазоне только ipip?

ну в кросс az да, в рамках одного сабнета нет

но надо вырубать к чертям src/dst check

а для asg это не так просто

так здесь та же проблема что и с оригинальным хельмом - в кубернетес ты суешь не lua, а именно готовый yaml. И тогда вопрос - зачем тогда вообще хелм, если темплейтор на lua можно написать свой и удобный?

стандартизация, можно иметь репо чартов общий и т.д.?

мне из последнего хашикорповский hcl нравится, не без косяков, но все таки

вот только туда завезли тоже много всего внезапно https://www.hashicorp.com/blog/terraform-0-1-2-preview как же так?

вот только туда завезли тоже много всего внезапно https://www.hashicorp.com/blog/terraform-0-1-2-preview как же так?

завезли то, чего реально не хватало, но от этого hcl не стал императивным языком, скорее добавили больше сахара, о котором Я упоминал в сообщении о dsl

а как жи версионность?

версионность чего? версионируй Lua код - в чем проблема?

завезли то, чего реально не хватало, но от этого hcl не стал императивным языком, скорее добавили больше сахара, о котором Я упоминал в сообщении о dsl

ну тут как посмотреть, есть переменные, теперь вот циклы завезли - чем не императивный язык?

и вот эти все выкрутасы тоже не императивны https://www.hashicorp.com/blog/hashicorp-terraform-0-12-preview-for-and-for-each ?

эм, ну вот даже не знаю, что сказать, но попробую: переменных нет, значения менять нельзя, есть входные данные полученные через variable, но не смотря на название это не переменные наличие синтаксического сахара для работы с итерируемыми данными не делает декларативный язык императивным, практически все, что добавили можно было и раньше делать

динамические блоки и т.д.

раньше можно было динамические блоки делать?

в-общем, думаю мы снова не договоримся

хотя, если динамические блоки позволят что-то вроде "дождаться Ready и деплоить второй компонент" тогда хорошо

раньше можно было динамические блоки делать?

используя костыли, да

уж лучше как по мне взять готовый язык который юзается в куче инфарструктурных программ чем пилить свой корявый велосипед как хашикорп (да еще и сертификацию по этому поделию делать)

хотя, если динамические блоки позволят что-то вроде "дождаться Ready и деплоить второй компонент" тогда хорошо

это скорее на зависымых ресурсах

(что уже давно есть в ansible / chef / человеческих языках программирования)

это скорее на зависымых ресурсах

ну да, идея та же в общем

ну давно есть, через null_resource

но костыли, да

опять же вопрос "зачем нам тогда хелм если ямлы совать можно из практически всего"

видимо ответ будет "Готовые чарты, но теперь со вкусом плохо протестированного динамического кода без отладчика"

уж лучше как по мне взять готовый язык который юзается в куче инфарструктурных программ чем пилить свой корявый велосипед как хашикорп (да еще и сертификацию по этому поделию делать)

потому, что он легко эмбедится, но все равно, lua бедный язык на батарейки, достаточно многословный и потом читать эти простыни императивного кода, а особенно дебажить их будет то еще счастье

декларативщине даже с for и for-each можно научить и обезьяну, что подтверждают коллеги которые в первый же день изучения начали PR слать к коду инфраструктуры, с lua будет не так весело :(

а зная любовь людей к решению несуществующих проблем, написанию "универсального" кода и оверинжинирингу мне страшно представить чарты для нового helm на lua

и еще, тот же hcl отлично статически анализируется, там жесткая схема и вот это вот все, что будет с кастомным lua котом представить сложно

и да, с lua Я знаком не по наслышке, приходилось работать как с embeded языком во многих сферах, не скажу, что все плохо но как по мне для helm все таки не очень оправданно

Staging и production стоит разделять неймспейсами? Базовый конфигсет у них одинаковый, а остальное все то же самое.

И еще настроил ClusterIssuer: kind: ClusterIssuer metadata: name: letsencrypt И Certificate: kind: Certificate metadata: name: website-tld namespace: default spec: secretName: website-tld-tls Серты появляются в default неймспейсе, и их не видят ингрессы которые я создаю в неймспейсах staging и production. Как быть? Создавать Certificate для каждого неймспейса отдельно теми же доменами? Боюсь что letsencrypt опять задрочится и прикажет ждать неделю.

И еще настроил ClusterIssuer: kind: ClusterIssuer metadata: name: letsencrypt И Certificate: kind: Certificate metadata: name: website-tld namespace: default spec: secretName: website-tld-tls Серты появляются в default неймспейсе, и их не видят ингрессы которые я создаю в неймспейсах staging и production. Как быть? Создавать Certificate для каждого неймспейса отдельно теми же доменами? Боюсь что letsencrypt опять задрочится и прикажет ждать неделю.

а если доменом третьего уровня разделить? ну тип dev.company.com/prod.company.com образно говоря

хотя если много, LE все равно задрочится)

а если доменом третьего уровня разделить? ну тип dev.company.com/prod.company.com образно говоря

Эээ, это как? Все равно в LE запросы будут приходить Х на количество Certificates, не? Как бы их глобально создавать и чтоб не дублировать?

Еще в Rancher v2 наблюдаю такое на 3й инсталляции за неделю, что серты отображаются криво без приватного ключа. Не отображаются TLD и дата. В Ранчере баг? Экспорт в yaml - все на месте.

Эээ, это как? Все равно в LE запросы будут приходить Х на количество Certificates, не? Как бы их глобально создавать и чтоб не дублировать?

ок, он оказывается дедюпит серты, даже не запрашивает новый

Ни у кого нет рабочего конфига CI, чтоб gitlab-runner реагировал на пуш, собирал докер имаж, пушил его в регистри, и заставлял поды в кластере апдейтиться?

Ни у кого нет рабочего конфига CI, чтоб gitlab-runner реагировал на пуш, собирал докер имаж, пушил его в регистри, и заставлял поды в кластере апдейтиться?

Вообще gitlab CI при каждом пуше будет запускать CI и собирать тебе image, пушить его, а дальше как твоей фантазии угодно. Можешь идти в k8s и делать деплой при помощи kubectl или helm

Вообще gitlab CI при каждом пуше будет запускать CI и собирать тебе image, пушить его, а дальше как твоей фантазии угодно. Можешь идти в k8s и делать деплой при помощи kubectl или helm

А запустить rolling update внутри куба можно только при помощи kubectl? Изнутри кластера никак? Мой раннер уже там, правда в отдельном неймспейсе.

Приветсвую! Подскажите. К примеру у меня есть есть 3 ноды воркера в кластере, и один deployment с 3 репликами. Не обязательно же использовать podAntiAffinity, чтобы реплики этого деплоймента были рассажены по разным подам? Шедуллер будет их планировать по разным в воркерам всегда как я понимаю, при наличии равного количевства реплик и рабочих воркеров?

А запустить rolling update внутри куба можно только при помощи kubectl? Изнутри кластера никак? Мой раннер уже там, правда в отдельном неймспейсе.

kubectl или helm, может еще какие инструменты есть. Интегрируешь Gitlab с k8s к примеру, создаешь в k8s для gitlab-ci сервис аккаунт с нужным RBAC и все. Если я правильно понял твой вопрос

kubectl или helm, может еще какие инструменты есть. Интегрируешь Gitlab с k8s к примеру, создаешь в k8s для gitlab-ci сервис аккаунт с нужным RBAC и все. Если я правильно понял твой вопрос

А ну спасибо, понятно. Я надеялся что в кубе есть какие-то встроенные эндпоинты для триггера апдейтов.

А запустить rolling update внутри куба можно только при помощи kubectl? Изнутри кластера никак? Мой раннер уже там, правда в отдельном неймспейсе.

Про другие возможности честно говоря не знаю. Может кто нибуть более тут осведомлен по этой тематике.

Поспрашивай еще

Про другие возможности честно говоря не знаю. Может кто нибуть более тут осведомлен по этой тематике.

Да уже нагуглил, вся молодежь так делает. УРЛ и ключ куба нужно в раннер пробросить

Да уже нагуглил, вся молодежь так делает. УРЛ и ключ куба нужно в раннер пробросить

кто-то просто использует креденшилы k8s и авторизует kubectl снаружи

(у нас кстати CI переходит на такую схему, народу нравиться)

А можно с этого места подробнее?

А можно с этого места подробнее?

https://github.com/openshift/ci-operator, но детали я сам еще плохо понимаю

Staging и production стоит разделять неймспейсами? Базовый конфигсет у них одинаковый, а остальное все то же самое.

лучше кластерами, чтобы можно было завалить стейджинг, не беспокоясь о проде

https://github.com/openshift/ci-operator, но детали я сам еще плохо понимаю

Чет доков пшик, как оно вообще должно работать?

А liveness probe сработает если нода слегла?

Для ноды таймауты проверок тоже можно крутить

Ну, просто поставил себе кубер локально для управления докер контейнерами. Ну, чтобы просто не забывать как там все работает. Потому что если не пользуешься долгое время, то потом вообще ничего не можешь сделать. Вот и решил docker-compose заменить на кубер. Но когда мне этот кластер не нужен, то не хочу тратить ресурсы ноута. Поэтому и задался проблемой остановки всего кластера на время.

Миникуб?

Миникуб?

Нет

Миникуб?

https://youtu.be/6ZRphF0wGAM

Staging и production стоит разделять неймспейсами? Базовый конфигсет у них одинаковый, а остальное все то же самое.

Я не разделяю.

https://youtu.be/6ZRphF0wGAM

Че прямо на хосте?? Без виртуалок?

Всем привет - расскажите плиз кто юзал к8с плагин для терраформ? Какие плюсы и минусы, есть ограничения?

че за плагин?

Kubernetes provider