у нас внутри кластера есть db-provisioner

он ждёт объектов типа kind: Database

и на них идёт и создаёт юзера/бд, и записывает их в секрет

у нас внутри кластера есть db-provisioner

прикольно. свое решение? опенсорц?

своё

своё

Чем то похоже на Vault

и на них идёт и создаёт юзера/бд, и записывает их в секрет

развертка кластера master-slave ? Или только database+user+pass в существуюшей СУБД ?

только db+user. сами бд вообще в RDS :)

(для пг. для монго какой-то там гд-ето кластер)

только db+user. сами бд вообще в RDS :)

получается через хуки сделали ?

угу. слушаешь деплой

Блин, а аналога типа trove нету ? что бы пускать базы с репликами и прочим.

хз. мы крутили в своё время сами сервера в кубе, но было как-то нестабильно

хз. мы крутили в своё время сами сервера в кубе, но было как-то нестабильно

а мне стабильно и не надо. Мне дев. среды собирать

Привет всем, есть кто к кому можно задать пару вопросов тут или в ЛС по кубу??

Прям сюда спрашивай

Смешной вопрос

Это чят не для поиска знакомств вроде

Ну вопрос банальный но, я только начал изучать куб, и столкнулся с проблемой проброса с локального сервера порта и айпишки для kubernetes/dashboard

нод порт выставил командой kubectl -n kube-system edit service kubernetes-dashboard

Этой командой ты сервис отредактировал

Интереснее то, что ты туда написал

т.е. curl с сервера видит сайт, а с робочего пк зайти немогу?

30000 точно в разрешенном диапазоне?

немного непонял вопроса

если верить этому то да

если верить этому то да

может вы не https заходите)00

Этому дешбоарду нужен https?

Этому дешбоарду нужен https?

ну по сути да

https://адрес:30000 а потом онг скажет что серт невалидный потом токен заводите и вуаля

https://адрес:30000 а потом онг скажет что серт невалидный потом токен заводите и вуаля

а есть возможность только для него сделать https, под локальную IP без домена?

а есть возможность только для него сделать https, под локальную IP без домена?

в каком смысле только для него? всмысле вы хотите по локальному адресу заходить? тада надо в сторону kube-proxy ковырять, я не помню уже

Да по локалке надо доступится

Да по локалке надо доступится

ну куб-прокси тоды

Почему кубер может говорить ErrImagePull, хотя имейдж точно есть?

Почему кубер может говорить ErrImagePull, хотя имейдж точно есть?

креді прописаны?

Почему кубер может говорить ErrImagePull, хотя имейдж точно есть?

доступа до реджестри может не быть

доступа до реджестри может не быть

Политика ifnotpresent

Политика ifnotpresent

и ? как это противоречит ) попробуй локально с ноды сделать docker pull nginx

и ? как это противоречит ) попробуй локально с ноды сделать docker pull nginx

А разве если оьраз уже скачан и стоит эта политика это не значит что не надо смотреть в репозиторий если оьраз спуллен?

А разве если оьраз уже скачан и стоит эта политика это не значит что не надо смотреть в репозиторий если оьраз спуллен?

здесь не подскажу. надо читать доки как это работает. возможно по md5 проверяется сумма а для этого надо запрос сделать

У меня пока нет доступа в инет, придется never похоже ставить. Пойду гуглить

здесь не подскажу. надо читать доки как это работает. возможно по md5 проверяется сумма а для этого надо запрос сделать

Хотя доки ничего не говорят про сравнение хешей если ифнотпресент

У меня пока нет доступа в инет, придется never похоже ставить. Пойду гуглить

без инета с докерами жизнь не очень. Проси чтобы прокси тебе ставили или свой реджистри поднимай и в него пуш образа из интета руками или через CI

без инета с докерами жизнь не очень. Проси чтобы прокси тебе ставили или свой реджистри поднимай и в него пуш образа из интета руками или через CI

Да это то понятно. Но проблема явно не в том что он лезет в регистри, в евентсах темболее это не видно

Да это то понятно. Но проблема явно не в том что он лезет в регистри, в евентсах темболее это не видно

https://stackoverflow.com/questions/36874880/kubernetes-cannot-pull-local-image

https://stackoverflow.com/questions/36874880/kubernetes-cannot-pull-local-image

И?)

И?)

The easiest way to further analysis ErrImagePull problems is to ssh into the node and try to pull the image manually by doing docker pull my/nginx:latest. I've never set up Kubernetes on a single machine but could imagine that the Docker daemon isn't reachable from the node for some reason. A handish pull attempt should provide more information.

The easiest way to further analysis ErrImagePull problems is to ssh into the node and try to pull the image manually by doing docker pull my/nginx:latest. I've never set up Kubernetes on a single machine but could imagine that the Docker daemon isn't reachable from the node for some reason. A handish pull attempt should provide more information.

Да нету у меня такой возможности. И вообще это странно. Все имейджы кроме одного работают

Да нету у меня такой возможности. И вообще это странно. Все имейджы кроме одного работают

а он твой кастомный ?

а он твой кастомный ?

Нет. Это дешборд

Господа, как принято делать NNN секретов в одном контейнере кубернетеса? Ну то есть, аналог свармовского: secrets: - raven_dsn - secret_key А то тут у некоторых сервисов этак пара десятков секретов может быть...

в чём проблема?

руками что ли пишешь?

Пока - да.

Локальный кластер, который точно не уедет ни в какой aws.

Ну то есть, если секреты не пойдут никуда, кроме указанного сервиса - их проще таки объединить в один через --from-file А вот как быть, если часть секретов пересекается?

а я правильно понимаю что resource requests в поде позволяют куберу планировать нагрузку на ноды и позволяют избегать траблов когда поды стартуют на одной ноде и вводят ее в ступор?

resource requests - это для попадания на ноду, где есть нужные ресурсы. Например, чтобы под java не попал на ноду, где меньше 128 Мб осталось и так далее

Нет. Это дешборд

теги проверил? может у тебя локально есть однойверсии а кубер пытается забрать latest

resource requests - это для попадания на ноду, где есть нужные ресурсы. Например, чтобы под java не попал на ноду, где меньше 128 Мб осталось и так далее

ну я в принципе это и имел в виду

можно ли в ролях RBAC как-то указать группу подов, начинающихся с заданной подстроки? или, может, как-то по другому можно дать доступ на определенную группу подов в заданном ns?

Сильно не пинайте, пока на уровне «вникаю». Потому могу и глупость спросить

Глупостей тут нет, если человек реально задаёт вопросы по существу, а не просто - я ничего не понял и даже не пытался.

Глупостей тут нет, если человек реально задаёт вопросы по существу, а не просто - я ничего не понял и даже не пытался.

и к чему коммент тогда ? ))

К тому, что в вашем вопросе нет глупостей

и к чему коммент тогда ? ))

Друзья, спасибо всем, кто был! Было супер-круто! ? Фотографии, видеозапись и слайды, а также анонс следующего митапа будет опубликован в канале https://t.me/kubernetesMSK - подписывайтесь!

Друзья, а мы продолжаем искать докладчика на следующий Kubernetes-митап, который состоится уже совсем скоро на площадке Mail.Ru Group! Есть чем поделиться или рассказать интересно, готовы исповедаться или прочитать проповедь? Будем рады! Сделаем сообщество веселей и опытней вместе. Напишите на events@axept.co или в ЛС напишите. ?

К тому, что в вашем вопросе нет глупостей

а ок ) торможу, етсд мозг ломает потихоньку. Не очень понятно, почему там для SSL описываются две сущности, одна без суффикса, вторая с суффиксом PEER

потому что разный ссл может быть использован для коммуникции между нодами кластера и для подключений клиентов

потому что разный ссл может быть использован для коммуникции между нодами кластера и для подключений клиентов

не очень понятно зачем так. То есть PEER это не сущность клиента. Я подумал он клиент-серверный. То есть в 1 экземпляре запускается и клиент и сервер.

что?

клиенты подключаются к нодам етцд-кластера

ноды етцд кластера общаются между друг другом

клиенты подключаются к нодам етцд-кластера

да вот я делаю бустрап, и для этого нужно описать две сущности, пока я ему подсунул 1 сертификат.

Ещё вопрос про етцд. Правильно ли я понял - тут идея следующая, после регистрации мы должны сами раз в определенное время продлять время регистрации сервиса правильно ? То есть как консул он не проверяет сервис, а ждет продления

etcd это просто kv

дополнительной логики в нём нет

дополнительной логики в нём нет

ааааа ) понял теперь. То есть логика поиска сервисов к нему весьма «притянута».

его в нём нет

её можно реализовать поверх, но сам етцд это не делает

его в нём нет

понял спасибо, а то я смотрю на него после консула и не пойму, почему так все реализовано. Спасибо, прям многое встало на свои места

Хелов

Подскажите как заставить запрос попадать на тот под на котором открылась сесия

??

service type: LoadBalancer

в амазоне есть Stickiness для этого , а как в кубернетесе это решается?

sessionAffinity: ClientIP не помогает

sessionAffinity: ClientIP не помогает

LB это внешний по отношению к куберу сервис, поэтому стоит уточнить, в каком облаке у вас кластер

LB это внешний по отношению к куберу сервис, поэтому стоит уточнить, в каком облаке у вас кластер

GKE