Как в Kubernetes использовать imagePullSecret для деплоймента, а не для пода? Решил в GKE залить проект на стейджинг но не могу имедж с registry.gitlab.com вытащить(( Прошу прощения за тупенький вопрос)

Как в Kubernetes использовать imagePullSecret для деплоймента, а не для пода? Решил в GKE залить проект на стейджинг но не могу имедж с registry.gitlab.com вытащить(( Прошу прощения за тупенький вопрос)

В шаблоне подов просто прописывается

Как я понимаю это после 59 строки? Но GKE ругается и не сохраняет(

Как я понимаю это после 59 строки? Но GKE ругается и не сохраняет(

И что пишет?

@cryptstal

@cryptstal

imagePullSecrets не для конкретного контейнера, а для всех, нужно на один уровень с containers поставить

Ура, заработало! @cryptstal @rheinx спасибище!

Всем ку. А гугле ингрес как то по особенному работает?

На тесте на железе все ок в гугле не работает ингрес.

На тесте на железе все ок в гугле не работает ингрес.

Ты сервису lb присвоил?

"я тут что-то сделал и у меня не работает"

Без объяснения что было сделано и без объяснения, что не работает

Люблю такое

всегда так делаю

Ты сервису lb присвоил?

Буду признателен если кинете линк на ман где почитать.

Без объяснения что было сделано и без объяснения, что не работает

Субота же, комп рабочий в офисе.

Буду признателен если кинете линк на ман где почитать.

Гугл: kubernetes service type: load balancer

Гугл: kubernetes service type: load balancer

Благодарка бро.

Благодарка бро.

Велкам)

Мне нужно пробросить постгрес с ноды на которой он установлен на живую, внутрь кластера. Правильно будет, если я оберну HAProxy в Dockerfile, и запущу этот под с host networking? Не знаете что в конфиге HAProxy написать? Пробросить нужно localhost:5432 на порт 5432 пода.

Мне нужно пробросить постгрес с ноды на которой он установлен на живую, внутрь кластера. Правильно будет, если я оберну HAProxy в Dockerfile, и запущу этот под с host networking? Не знаете что в конфиге HAProxy написать? Пробросить нужно localhost:5432 на порт 5432 пода.

А это разве не через сервис делается? На сколько я знаю, создаётся сервис с дестинейшном наружу, а поды все ходят на этот сервис

А это разве не через сервис делается? На сколько я знаю, создаётся сервис с дестинейшном наружу, а поды все ходят на этот сервис

У меня ноды без локальной сети, я не хочу открывать порт постгреса миру. Вот и приходится под-прокси делать

У меня ноды без локальной сети, я не хочу открывать порт постгреса миру. Вот и приходится под-прокси делать

Так, а прокси как будет это делать? Не по той же сети?)

Так, а прокси как будет это делать? Не по той же сети?)

прокси будет припинена к ноде на которой бд установлена)

прокси будет припинена к ноде на которой бд установлена)

Бррр. Это как бы на серваке стоит обвяз кубера + рядом установлена ПГ?

Бррр. Это как бы на серваке стоит обвяз кубера + рядом установлена ПГ?

Точняк! Бд размером 30ТБ, у меня пока столько мощностей нет чтоб оттестить этот деплой в кубе

и лучше ее не трогать, а осторожно подключаться

Точняк! Бд размером 30ТБ, у меня пока столько мощностей нет чтоб оттестить этот деплой в кубе

Но я таки все ещё не могу понять, куда ты будешь направлять haproxy.

Но я таки все ещё не могу понять, куда ты будешь направлять haproxy.

На localhost:5432, тк он будет запущен внутри сети хоста на которой постгря

А уже поды из кластера смогут адресовать его внутри виртуальной сети куба, если я правильно понимаю

На localhost:5432, тк он будет запущен внутри сети хоста на которой постгря

Localhost для пода haproxy будет самим подом, а не сервером на котором нода

ох щит, ок

pod ip и node ip в этом случае одинаковы

Я думал что эта херь дает поду дополнительный сетевой интерфейс

pod ip и node ip в этом случае одинаковы

Нуууу, вроде да, логично.

Как быть то?

Как быть то?

Посмотри все же в сторону сервиса. А на pg разреши коннекты только с ip нод в pg_hba.conf

Ну или если паранойя то можешь дополнительно шлифануть фаерволом

Посмотри все же в сторону сервиса. А на pg разреши коннекты только с ip нод в pg_hba.conf

Ну ок, так и сделаю тогда, спасибо

Ну ок, так и сделаю тогда, спасибо

Попробуй да. Я просто мысли говорю. Я диванный аналитик пока в этом :))

Попробуй да. Я просто мысли говорю. Я диванный аналитик пока в этом :))

Такс а вот вопрос - создал сервис с именем postgres, как к нему теперь подключить под? Аппа не подключается, хотя в Ранчере 1х вроде бы так и работало SequelizeHostNotFoundError: getaddrinfo ENOTFOUND postgresql postgresql:5432

так ты сходи сначала телнетом на сервис:порт посмотри что там

господа кто нить юзает contiv ? он правда умеет в vlan ? я бы хотел для некоторой части подов иметь две сети. одну в сторону кластера вторую в сторону нужных мне vrf. нужные vrf подаются на хост в отдельных vlan в теге

Такс а вот вопрос - создал сервис с именем postgres, как к нему теперь подключить под? Аппа не подключается, хотя в Ранчере 1х вроде бы так и работало SequelizeHostNotFoundError: getaddrinfo ENOTFOUND postgresql postgresql:5432

Тебе теперь надо dns имя сервиса получить, и на него стучаться.

Тебе теперь надо dns имя сервиса получить, и на него стучаться.

я уже внешний ип напрямую в конфигсете указал, так и нужно было изначально

я уже внешний ип напрямую в конфигсете указал, так и нужно было изначально

Ну или так)) тогда все это не нужно))

Тебе теперь надо dns имя сервиса получить, и на него стучаться.

я вот в гуи Ранчера создал сервис с внешним ип, потом делаю describe с kubectl чтоб посмотреть что не так, почему по имени postgres ENOTFOUND. Там вообще какую-то дичь выдает, порт какой-то 47, вообще

я вот в гуи Ранчера создал сервис с внешним ип, потом делаю describe с kubectl чтоб посмотреть что не так, почему по имени postgres ENOTFOUND. Там вообще какую-то дичь выдает, порт какой-то 47, вообще

А точно ли там такое имя? Там домена нет ли внутреннего?

А точно ли там такое имя? Там домена нет ли внутреннего?

А как это узнать? Дефолтный инсталл ранчера 2.0 на железо

А как это узнать? Дефолтный инсталл ранчера 2.0 на железо

kubectl describe svc %service_name% покажи

kubectl describe svc %service_name% покажи

Name: postgres Namespace: vw-production Labels: <none> Annotations: field.cattle.io/creatorId=user-x8f67 field.cattle.io/ipAddresses=["153.132.16.11"] field.cattle.io/targetDnsRecordIds=null field.cattle.io/targetWorkloadIds=null Selector: <none> Type: ClusterIP IP: None Port: default 42/TCP TargetPort: 42/TCP Endpoints: 153.132.16.11 Session Affinity: None Events: <none>

Name: postgres Namespace: vw-production Labels: <none> Annotations: field.cattle.io/creatorId=user-x8f67 field.cattle.io/ipAddresses=["153.132.16.11"] field.cattle.io/targetDnsRecordIds=null field.cattle.io/targetWorkloadIds=null Selector: <none> Type: ClusterIP IP: None Port: default 42/TCP TargetPort: 42/TCP Endpoints: 153.132.16.11 Session Affinity: None Events: <none>

Порт откуда-то тут

Name: postgres Namespace: vw-production Labels: <none> Annotations: field.cattle.io/creatorId=user-x8f67 field.cattle.io/ipAddresses=["153.132.16.11"] field.cattle.io/targetDnsRecordIds=null field.cattle.io/targetWorkloadIds=null Selector: <none> Type: ClusterIP IP: None Port: default 42/TCP TargetPort: 42/TCP Endpoints: 153.132.16.11 Session Affinity: None Events: <none>

targetDnsRecords, может в этом проблема

А кому нибудь доводилось настраивать gitlab-runnerы в k8s?

по гитлабу есть группа кстати

Мне нужно пробросить постгрес с ноды на которой он установлен на живую, внутрь кластера. Правильно будет, если я оберну HAProxy в Dockerfile, и запущу этот под с host networking? Не знаете что в конфиге HAProxy написать? Пробросить нужно localhost:5432 на порт 5432 пода.

есть ли хоть одна причина делать это через haproxy, а не через pgbouncer например?

есть ли хоть одна причина делать это через haproxy, а не через pgbouncer например?

не сталкивался с балансерами постгри еще

по гитлабу есть группа кстати

подскажете?

А кому нибудь доводилось настраивать gitlab-runnerы в k8s?

Я настроил, но из-за RBAC он не активируется. Пробует писать в секреты, нужно как-то настроить это

да чо бы нет. @ru_gitlab

есть ли хоть одна причина делать это через haproxy, а не через pgbouncer например?

резолв только один раз.

который резолв?

господа кто нить юзает contiv ? он правда умеет в vlan ? я бы хотел для некоторой части подов иметь две сети. одну в сторону кластера вторую в сторону нужных мне vrf. нужные vrf подаются на хост в отдельных vlan в теге

тебе для заворачивания в или из подов? може проще роутингом?

тебе для заворачивания в или из подов? може проще роутингом?

src routing на основании тега в поде ?

тебе для заворачивания в или из подов? може проще роутингом?

а так можно ?

который резолв?

который делает pgbouncer только один раз при старте.

вообще я тут погуглил и выяснил что быть может то что я хочу делает calico под именем HostEndpoint но это не точно

дык ежели calico, там bgp, укрутиться можно

я ж, надеюсь, ты не фланнел юзаешь, как во всех мануалах? :)

мне bgp не надо. мне надо на под 2 интерфейса. один в сторону кластера второй в сторону нужного мне vrf. нужных мне vrf сильно больше одного подов для одной задачи будет больше одного. ip адреса надо брать именно с хоста.

без кубера я это собираю через network namespace помещая процессы в оные и добавляя туда по физическому(vlan) интерфейсу

однако, а просто отроутить ипишку и направить куда вздумается - плохо? бритва оккама тебя покарает за кучу интерфейсов :)

дак src роутинг получается же

причем src pid routing :)

а ты не думал, что тот, кто будет дебажить это, тебя побъёт? :)

мне bgp не надо. мне надо на под 2 интерфейса. один в сторону кластера второй в сторону нужного мне vrf. нужных мне vrf сильно больше одного подов для одной задачи будет больше одного. ip адреса надо брать именно с хоста.

по-моему в кубере штатными средствами больше 1 ip на pod вообще нельзя сделать

можно, но лучше об этом даже не думать

https://github.com/kubernetes/kubernetes/issues/27398

а ты не думал, что тот, кто будет дебажить это, тебя побъёт? :)

а у меня какие варианты то.... есть сетевое железо. на котором в ip acl прописан 1(один) ip адрес. там же прописан 1 (совсем один) адрес для отправки syslog/trap. реконфигурировать сетевое железо нельзя (можно но его многие десятки тысяч) надо со стороны серверов попробовать переехать в кубер. сейчас есть 2 хоста. active/standby c вот этим плавающим ip указанным в ipacl

можно, но лучше об этом даже не думать

почему? вроде бы много решений и даже через CRD http://dougbtv.com/nfvpe/2017/12/19/multus-crd/

я бы сначала в эту сторону поковырял

почему? вроде бы много решений и даже через CRD http://dougbtv.com/nfvpe/2017/12/19/multus-crd/

спасибо выглядит сильно похоже на мой случай

сложным путём, назначить подсетку поду, и её натить/роутить в этот IP, всё как ты любишь, правда обвязка будет специфическая из-за vrrp адреса, если у тебя HA

вот тут картинка похожа на мою https://docs.projectcalico.org/v3.1/getting-started/bare-metal/bare-metal

minikube version: v0.28.1 на mac, один контейнер из пода не пингует другой контейнер из пода через сервис. через localhost работает. Никто не сталкивался?

Ребят, прометей может по тегам кубера сортировать мониторинг контейнеров?

minikube version: v0.28.1 на mac, один контейнер из пода не пингует другой контейнер из пода через сервис. через localhost работает. Никто не сталкивался?

Через сервис и не будет. Сервис это всего лишь набор правил iptables для проброса порта. ICMP не будет. Пробуй телнет на порт.