не понимаю, как можно смотреть правила без -nv =))

тут пофиг, по-моему.

Главное не это, главное: 10.244.2.0 - [10.244.2.0] - - [02/Aug/2018:13:18:02 +0000] "GET / HTTP/1.1" 502 174 "-" "curl/7.52.1" 83 0.001 [default-website-80] 10.244.1.113:80, 10.244.2.79:80 0, 0 0.000, 0.000 502, 502 b56b22a9c00a16d89aa98b6de0221f79 Адрес клиента тут вообще белый должен быть.

покажешь?

А, все, нашел DNAT: lb-nginx-ingress-controller-np4vg 1/1 Running 0 1d 10.244.1.14 worker1 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:10.244.1.14:443

я бы избегал такого для ингрес контроллера

Почему? Я нуб, прост интересно.

dnat же производит действия с пакетом - тратит cpu time. плюс кидает пакет в оверлей сеть, снова расходы

По причине логов и невозможности ограничить доступ к виртхосту по ip, на что я и наступил с дефолтной установкой, рекомендуемой для Baremetal. А потом таки да, пойдут расходы.

Хотя... Могу путать, однако.

Таки hostNetwork работает

не понимаю, как можно смотреть правила без -nv =))

Легко: iptables-save

Интересно, насколько странное то, чего я хочу с точки зрения ingress? В смысле, реализуемо ли штатными средствами (аннотации и т.п.)? сайт в контейнере должен быть доступен с basic auth по http, при этом по https должна быть авторизация при помощи клиентских сертификатов, соответственно, basic auth на https не нужен.

http+basic auth - для внешних подрядчиков https+cert auth - для сотрудников В самом сайте ничего секретного, но нефиг пускать туда поисковики, которые отлично плюют на всякие robots.txt и т.п.

Подскажите как настроить rules в ingress на https

чем плох-то?

Неудобный

Господа, подскажите как правильно использовать helm в rancher2.0?

В ответах параметры задавать

Добрый день. Есть большой вопрос по OpenShift. На конференции РИТ++ на докладе посвященном Helm и как его дополнить до полноценного инструмента с помощью доп OSS инструментов первым вопросом из зала было А почему нет OpenShift - там все это есть из коробки. Я начал читать документацию по OpenShift, но это не раз-два - современные маркетологи ухитряются превратить заглавные страницы сайтов в "сказочный лес" - нихрена не понятно что же это такое и зачем оно нужно. Но нужно точно. Поэтому я хотел бы спросить - есть ли какое нибудь не очень длинное описание того, что может OpenShift. Меня в первую очередь интересует развертывание приложений в k8s. Допустим у нас есть 5 приложений наших и еще 100 "приложений", которые мы используем для того, чтобы наши могли работать - всякие графаны, ES, jenkins и т.д. Хотелось бы чтобы состояние k8s - все дескрипторы и конфигмапы - все версионно хранилось. Например в git, так чтобы можно было воспроизвести, откатить и пр. К тому же есть некоторые "маленькие различия" поскольку кластеров должно быть несколько - например dev, test, prod и в каждом должны быть свои параметры. И процедура развертывания тоже немного разная - dev,test - все просто, можно даже автоматом после создания новой версии. prod должен развертываться только после предварительного одобрения, потихонечку, все должно проверяться (лучше если автоматически). И вот вопрос - умеет ли все это OpenShift, как он делает, есть ли толковые доки по этому делу и пр. Второй вопрос, который меня не интересует сейчас, но тоже интересный - поддержка в момент разработки - более быстрое создание image, деплой всего в процессе разработки без комита, желательно одной кнопкой, желательно из IDE, желательно с минимальными инкрементальными перемещениями изменившихся данных (исходников или там чего мы накомпилировали) между дев хостом и рабочим кластером. Не думаю, что OpenShift заходит настолько далеко, что позволяет создание дев кластеров или дев инсталляций потому что обычно это предполагает, что часть приложений в дев "кластере" будет своя, часть сервисов будет использоваться из prod кластера и все это надо как-то разрулить, сделать какой-то мэш, как-то конфигурацию изменить.

>нихрена не понятно что же это такое и зачем оно нужно. Но нужно точно глубокая мысль

>Хотелось бы чтобы состояние k8s - все дескрипторы и конфигмапы - все версионно хранилось. храните yaml в ansible репе и накатывайте его плейбуками? Такое и любой k8s может

и\или с с помощью bash в вашей любимой CI системе

>деплой всего в процессе разработки без комита можно сделать oc start-build --from-dir=. и начнется билд. IDE - наверное только eclispe прикручен (и то нужно проверить)

"дев кластер" локально разворачивается через oc cluster up если он нужен on demand, но вообще кластера разворачиваются через ansible, потому различия дев-прод кластера хранятся в переменных, через отдельные group_vars, например

hostport это dnat же?

Нет, это запуск контейнеров пода в сетевом пространстве имен хоста.

У нас даже стикер есть)

>Хотелось бы чтобы состояние k8s - все дескрипторы и конфигмапы - все версионно хранилось. храните yaml в ansible репе и накатывайте его плейбуками? Такое и любой k8s может

Деплой ансиблом?)

Деплой ансиблом?)

ачотакова? Можно нормально проверить поднялся ли сервис, например

+ настройка внешней DB если недостаточно смел

ачотакова? Можно нормально проверить поднялся ли сервис, например

Мы с тобой уже обсуждали скорость развития ансибла и частоту переделки модулей, а так хорошая идея имхо

Мы с тобой уже обсуждали скорость развития ансибла и частоту переделки модулей, а так хорошая идея имхо

тогда silver bullet будет только кастомный оператор

Интересно хоть в одном чате это не обсуждали "развитие ансибла и частота депрекейт модулей"

касательно k8s клянутся что этот уже надолго, релиза два протянет

касательно k8s клянутся что этот уже надолго, релиза два протянет

Два релиза это пол года?

Хотя, учитывая как быстро развивается куб

move things and break fast

Нет, это запуск контейнеров пода в сетевом пространстве имен хоста.

C Hostnetwork путаете, hostport в контексте портов контейнера задаётся

C Hostnetwork путаете, hostport в контексте портов контейнера задаётся

Да, точно

Накатывать апдейты в кубернетес через ansible это конечно революционно. Но есть несколько но: во-первых вопрос был про OpenShift, а не как мне это прикостылить во-вторых например kubectl apply не всегда работает, иногда надо делать remove, хотя может и replace прокатит. И я не хочу это костылить в ansible в третьих мне нужен UI какой-нибудь. Я же говорил - в прод инсталляции деплой должен происходить только с разрешения одобряющего.

Взять кубы, накрутить билдов автоматических и сиаев, чтобы потом аппрувить релизы :))

Накатывать апдейты в кубернетес через ansible это конечно революционно. Но есть несколько но: во-первых вопрос был про OpenShift, а не как мне это прикостылить во-вторых например kubectl apply не всегда работает, иногда надо делать remove, хотя может и replace прокатит. И я не хочу это костылить в ansible в третьих мне нужен UI какой-нибудь. Я же говорил - в прод инсталляции деплой должен происходить только с разрешения одобряющего.

http://lorisleiva.com/content/images/2018/06/Screen-Shot-2018-06-07-at-15.12.17-2.png это последнее время популярно оставлять в CI Все нормальные умеют оставлять таску в конце pipeline, которая руками стартует.

Если нужно откатиться, то находится pipeline прошлый и там повторно жмакается run

а чей энто пайплайн? я про софтину

Накатывать апдейты в кубернетес через ansible это конечно революционно. Но есть несколько но: во-первых вопрос был про OpenShift, а не как мне это прикостылить во-вторых например kubectl apply не всегда работает, иногда надо делать remove, хотя может и replace прокатит. И я не хочу это костылить в ansible в третьих мне нужен UI какой-нибудь. Я же говорил - в прод инсталляции деплой должен происходить только с разрешения одобряющего.

Чем тебе jenkins pipelines / AWX не UI? В jenkins точно есть prompt и confirm

gitlab это

пасиб, блин, больная мозоль, мне низя :(

А не проще-ли не обращать внимания на openshift и просто работать с kubernetes на котором он построен? Отдельные лучи поноса тем кто придумал в openshift ограничивать uid пользователя 12-ти значным числом.

пасиб, блин, больная мозоль, мне низя :(

drone.io + самому дописать кнопку play... или я на своих запускаю через телеграм бота

т.е. там апи есть для запуска, нужно как-то дергать

пасибки, телеграмм для меня перебор, у меня хуки, но посыл ясен

пасибки, телеграмм для меня перебор, у меня хуки, но посыл ясен

ChatOps называются, пару компаний топовых таким страдают. Только через slack

и в гитлабе есть интеграция со слеш-командами слака из коробки

даже в CE-версии

https://opsidian.ai/ https://stackstorm.com/ это так может кому интересно

да, gitlab вырос в такого монстра... ci, autodevops и тп. Когда его начинали, помню, никто не верил ?

webide

слак есть, только деплой прода через чатик, я не настолько другим доверяю, хотя...надо как-то роллаут замутить

ну не всем же. Там суть, что все видят, что происходит

gitlab сейчас активно решает проблему, что .gitlab-ci.yml может любой разраб поменять и запустить таски тоже.

gitlab сейчас активно решает проблему, что .gitlab-ci.yml может любой разраб поменять и запустить таски тоже.

А каким образом они пытаются решить эту проблему?

gitlab сейчас активно решает проблему, что .gitlab-ci.yml может любой разраб поменять и запустить таски тоже.

А как на счёт мерджа в ветку только через код ревью и апрув?

это есть

А как на счёт мерджа в ветку только через код ревью и апрув?

Код из .gitlab-ci.yml выполняется до мерджа

А как на счёт мерджа в ветку только через код ревью и апрув?

ты закидывашь свою ветку и выполняется твой gitlab-ci.yml

ограничение что деплой только с мастера убрать и все - полетели

потом git push -f в свою ветку можно. Удалить pipeline тоже вроде можно всем и замели следы.

Понятно, что все из-за того, что ci\cd смешивают. Но так просто удобно

git push -f можно запретить

дык а пермишены только на одну ветку, там и размещать, просто диковатый gitlab-ci.yml получится

git push -f можно запретить

Это только поможет посмотреть что сделано, но не остановить

дык а пермишены только на одну ветку, там и размещать, просто диковатый gitlab-ci.yml получится

нельзя запретить правку gitlab-ci.yml

нельзя запретить правку gitlab-ci.yml

можно в EE

Я даже сходу не знаю простого способа определить, что git push изменил конкретный файл с прошлого раза. Хранить все git push как-то не круто, чтобы это трэкать. Сравнивать с мастером - у всех разные привычки, не все опираются на одну ветку. Короче сложно, это и решают.

Я даже сходу не знаю простого способа определить, что git push изменил конкретный файл с прошлого раза. Хранить все git push как-то не круто, чтобы это трэкать. Сравнивать с мастером - у всех разные привычки, не все опираются на одну ветку. Короче сложно, это и решают.

если есть файл в диффе, значит меняли. у гита даже есть команда вывести список изменённых файлов конкретного коммита

можно делать git diff master но не все опираются на одну ветку.

Если prod/dev ветки, то есть feature от dev и hotfix от prod

git diff тут не при чём

как по простому чекать, что git push на сервер не меняет файл конкретный?

да ну чё вы меня расстраиваете, за 3 года ничё не изменилось? т.е. моя мечта, что можно сделать бранч с пермишенами "можно только я" и запускать gitlab-ci только из него низя?

как по простому чекать, что git push на сервер не меняет файл конкретный?

https://gist.github.com/sergeyhush/c0c09642ca76ddd67c53

да ну чё вы меня расстраиваете, за 3 года ничё не изменилось? т.е. моя мечта, что можно сделать бранч с пермишенами "можно только я" и запускать gitlab-ci только из него низя?

пол года уже точно думают, пока не придумали. От комьюнити есть патчи, которые покрывают важные кейсы, но не годятся для массового пользователя

да ну чё вы меня расстраиваете, за 3 года ничё не изменилось? т.е. моя мечта, что можно сделать бранч с пермишенами "можно только я" и запускать gitlab-ci только из него низя?

можно запускать раннер только на протектед бранчах например

Runners marked as protected can run jobs only on protected branches, avoiding untrusted code to be executed on the protected runner and preserving deployment keys and other credentials from being unintentionally accessed. In order to ensure that jobs intended to be executed on protected runners will not use regular runners, they must be tagged accordingly.

ci тогда пропадает

смысл ci - прогнать тесты же

для тестов можно отдельно ещё один раннер сделать

дык я ж могу вмержить исключая этот файл, или предполается, что тесты тож в нём?

и как это будет работать? чет я туплю

или там к ранерам можно ветки привязывать - не помню/не видел

и как это будет работать? чет я туплю

тесты будут запусаться в одном раннере, деплой с протектед - в другом

не понимаю

протектед бранчи как способ ограничить круг лиц, которые могут пушить в них и контроллировать CI

только если делать protected variable, которая позволяет выполнить deploy. Т.е. без секрета gitlab-ci даже с правкой не запустится

типп ssh ключа

но зачем

протектед бранчи как способ ограничить круг лиц, которые могут пушить в них и контроллировать CI

ты можешь в свою ветку запушить какой хочешь gitlab-ci. Не понимаю причем тут protected бранчи

если проставить флаг протектед раннеру, то не не протектед бранчах он просто не возьмёт джоб

походу старый у меня gitlab, нужно новый смотреть

ты можешь в свою ветку запушить какой хочешь gitlab-ci. Не понимаю причем тут protected бранчи

ну просто если там не будет раннера, то никто и не запустит ci