values -> configMap/secrets -> env containers

https://github.com/helm/helm/blob/master/docs/charts_tips_and_tricks.md#automatically-roll-deployments-when-configmaps-or-secrets-change

Dmytro я использую очень активно docker-compose в dev, но на prod все, что делал больше на костыли смахивало.

Dmytro я использую очень активно docker-compose в dev, но на prod все, что делал больше на костыли смахивало.

swarm умеет ZD, почти compose)

я столько натерпелся от swarm... нет.

я столько натерпелся от swarm... нет.

пили прохладную

рандомные падения, ноль логов, забиндить сервис на localhost нельзя было до недавнего времени

я столько натерпелся от swarm... нет.

хз, даже в проде юзаю, когда не нужно всё что куб умеет

version: '3.3' api: ports: - mode: host target: 3000 published: 3000

рандомные падения, ноль логов, забиндить сервис на localhost нельзя было до недавнего времени

логи самого сварма или сервисов?

сварма

там их минимум. Что случилось - иди к гадалке

Я так радовался, когда увидел describe в k8n...

там их минимум. Что случилось - иди к гадалке

так норм же, все айти на этом держится

да вроде не такой уж и костыль https://github.com/vincetse/docker-compose-zero-downtime-deployment

и своего рода HA :))

но в целом куб конечно тут лучше подходит, спору нет

да вроде не такой уж и костыль https://github.com/vincetse/docker-compose-zero-downtime-deployment

almost zero-downtime

ну так по задаче и инструмент

если все равно на одной ноде то и almost zero down не должно пугать

ну пару секунд будет 502

там оно almost zeredowntime понимаете почему?

не будет там 502, в этом решении

там задержка будет, пока прокси поймет, что упала часть приложения

там оно almost zeredowntime понимаете почему?

потому что nginx

по задаче есть swarm, пох на сколько нод, но не умеет он всякие политики, авторизации и прочее. поэтому на одном сворме не прожить)

для таких вещей надо более другой прокси использовать как бы

потому что nginx

в ha нет timeout на опрос состояния?

nginx без плюса свои бекенды хелсчекать не умеет никак

ему нужно постучатся, подождать n сек и идти в другое место

там обёрнуто в костыль

nginx без плюса свои бекенды хелсчекать не умеет никак

Умеет

для таких вещей надо более другой прокси использовать как бы

потому что сначала старый останавливается, а потом новый поднимается

Умеет

на старте не считается

хелчек же не каждую секунду то. Раз в минуту... тут все равно будет задержка

в рантайме - не умеет

ну, или не умел

всё равно умеет

Есть модуль

ну, конечно

k8n тушит по etcd событию

И судя по синаксису его и сунуьи в плюс

а есть traefik который смотрит докеру в сокет и сам понимает когда чего переключать надо

Это не отменяет что нжинкс это умеет

в-общем, имхо тут товарищам нужны шашечки - на одной ноде все хочу, куб не хочу т.к. много памяти но нужен zero downtime

etcd + confd сделает zerodown time только это ж писать нужно)

Это не отменяет что нжинкс это умеет

я бы сказал что "nginx можно этому научить"

хотя не, перебор. проще руками генерить конфиг

а то вот эти "есть модуль, просто скомпилируй"

я бы сказал что "nginx можно этому научить"

А на линуксе можно построить сервер

Берёшь опенрести и ничо не надо компилить

хочу ещё ingress к zerodown time ? Короче проще k8n заводить.

Берёшь опенрести и ничо не надо компилить

это вот та поделка на lua?

ну, да, да

То ли дело поделка на го :)

tarantool как базу с триггерами на lua + openrestry

только потом фиг найдешь того, кто захочет это поддерживать(

То ли дело поделка на го :)

у меня есть впечатление что traefik быстрее отреагирует на остановку бекенда

Проверь

мне лень

там же 100% есть timeout на это. Уменьшить и все.

но там механически на docker event должно триггериться

может у traefik он меньше

по-умолчанию

в отличие от любой проверки на уровне tcp/http

k8n - наркотик с сильной зависимостью

Кто postgres кластер запускал на кубах?

k8n - наркотик с сильной зависимостью

k8s

в отличие от любой проверки на уровне tcp/http

я говорил про etcd+confd, ещё быстрее. Консул проще... если на нем писать...выйдет nomad ?

k8s

раскладка дворака... sn рядом...

раскладка дворака... sn рядом...

я уже гугл задудосил, блин

я говорил про etcd+confd, ещё быстрее. Консул проще... если на нем писать...выйдет nomad ?

ну, зависит от системы

в простейшем случае с одним dockerd – можно через апи поймать ивент на стоп/старт и среагировать

Запуск контейнера != запуск приложения

ну, разумеется, но если вы после SIGTERM позволяете себе принимать запросы – то ой

не работает просто include kubespray если делать по их ману, c ошибкой: The error appears to have been in 'ansible/3d/kubespray/cluster.yml': line 2, column 3, but may be elsewhere in the file depending on the exact syntax problem. The offending line appears to be: --- - hosts: localhost ^ here и не понимаю как подцепить таки

Запуск контейнера != запуск приложения

Есть healthcheck же

харбор вроде довольно небесплатный

вполне себе бесплатный, иначе как он в CNCF может входить?

еще странного хочу, нужно 22 порт пода в мир выставить, это вообще возможно?

еще странного хочу, нужно 22 порт пода в мир выставить, это вообще возможно?

Но зачем?

Можно через nodeport, но если надо порт < 1000, то придётся запускать с с привиледжед режимом

Но зачем?

git сервер на k8s

Лучше через ингресс имхо

Лучше через ингресс имхо

вот да, но как?

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/exposing-tcp-udp-services.md

вполне себе бесплатный, иначе как он в CNCF может входить?

Возможно я попутал

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/exposing-tcp-udp-services.md

в aws его не очень удобно будет использовать, проще nodePort и руцями ELB/NLB поднять

в aws его не очень удобно будет использовать, проще nodePort и руцями ELB/NLB поднять

в авс можно использовать нативный loadbalancer, и ничего руками делать не надо

ну да, но хотелось бы кроссклауд, не видно не судьба

ну loadbalancer в кубернетесе вполне себе кроссклауд ИМХО

гайс, а делал кто такое: кронджобой создать контейнер в поде(StatefulSet) и из него в PV этого StatefulSet сделать всякие штуки?

рандомные падения, ноль логов, забиндить сервис на localhost нельзя было до недавнего времени

Забавно, а я думал только мне так повезло, столько глюков swarm'а отведать. Были и split brain'ы (создавалась еще одна реплика rabbitmq и с части серверов на неё шли мессаги, которые никто не разбирал). Повисшие контейнеры старых версий приложения были, которые удалились только после полного пересоздания кластера. Ну а касательно логов сервисов - docker service logs вообще частенько висел, приходилось смотреть логи каждого контейнера на конкретной ноде. Оверлейная сеть глючила - иногда хосты в одной оверлейной сети не видели друг друга, приходилось удалять и создавать стек - и через несколько попыток оно наконец заводилось. Но периодически все равно падали ошибки "no route to host". Сам кластер тоже регулярно терял кворум (но это было давно, на старых версиях докера), когда было 3 мастера - а с 1 мастером смысла от такой оркестрации как-то маловато. В итоге это все закончилось вынесением всех stateful сервисов в private network, а в swarm'е только воркеры всякие остались, к которым никто не подключается.

git сервер на k8s

nginx умеет прокси tcp, т.е. можно через ингресс. А вообще все делают через 1022 порт или типа того. И отлично.

git сервер на k8s

как вариант https://sysadmin.pm/nginx-ssh-https/

Омг

да ладно, зато наружу не торчит подозрительный 22 порт и все говно гитлаба засунуто в один контейнер

apiVersion: v1 kind: ConfigMap metadata: name: tcp-configmap-example data: 9000: "default/example-go:8080" ingress умеет...

cat ingress-values.yaml name: nginx-ingress namespace: kube-system rbac: create: true tcp: 1022: "gitlab/gitlab:22" controller: kind: DaemonSet daemonset: useHostPort: true если ingress через helm

как вариант https://sysadmin.pm/nginx-ssh-https/

зачем он делает map $ssl_preread_protocol $upstream { "" ssh; "TLSv1.2" web; default 2.2.2.2:443; } просто же map $ssl_preread_protocol $upstream { "" ssh; default web; }