@kubernetes_ru
Andor09.08.2018
07:23:12
07:23:12
не вольный рассказ
Stanislav09.08.2018
07:26:35
07:26:35
1) сделал ingress для тестово сайта с https на сертификатах из своего CA, убедился что работает
2) сделал секрет в соответствии с п.1 документации из файла CA.crt (на самом деле давно добавил, для других целей)
3) добавил строки из примера (имя секрета - в соответствии с 2) в конфиг ingress, применил, получил 403 на сайте и процитированное в nginx.conf
Andor09.08.2018
07:27:15
07:27:15
2) сделал секрет в соответствии с п.1 документации из файла CA.crt (на самом деле давно добавил, для других целей)как именно?
GoogleAndor09.08.2018
07:27:25
07:27:25
1) сделал ingress для тестово сайта с https на сертификатах из своего CA, убедился что работает как именно?
с 3 пунктом тот же вопрос
Stanislav09.08.2018
07:27:36
07:27:36
kubectl create secret generic secret-name --from-file=./CA.crt
п.3 - тупо скопировал строки с auth-tls и поправил имя секрета
Andor09.08.2018
07:28:43
07:28:43
нет показывай код
у нас тут не экзамен по русскому языку "изложение с элементами сочинения", у нас тут технический чят
Stanislav09.08.2018
07:29:19
07:29:19
kind: Ingress
metadata:
name: website-ssl
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "default/ca-cert"
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "false"
Andor09.08.2018
07:29:33
07:29:33
nginx.ingress.kubernetes.io/auth-tls-secret: "default/ca-cert"
у тебя в команде другое имя у сикрета
Stanislav09.08.2018
07:30:09
07:30:09
Я её не копировал
Andor09.08.2018
07:30:32
07:30:32
ну почему так сложно просто взять и показать именно те ресурсы которые ты создал?
Stanislav09.08.2018
07:31:09
07:31:09
Потому что ресурс создан давно и для других целей.
В истории команд не сохранился
GoogleAndor09.08.2018
07:31:36
07:31:36
есть kubectl ... -o yaml
и ты будешь видеть точные аннотации и точные имена
и даже кусачки будут не нужны чтобы информацию вытащить
Stanislav09.08.2018
07:32:16
07:32:16
name: ca-cert
namespace: default
type: Opaque, если это имеет значение
Отбой тревоги, имя файла в секрете должно быть в нижнем регистре.
И, блин, нигде не сказано, что оно должно быть именно ca.crt и никак иначе...
Twelfth09.08.2018
07:47:03
07:47:03
А до этого вообще работало? Мне просто показалось что до этого у тебя создался вольюм)
Не работало. Сейчас соберу local volume
BanschikovAndor09.08.2018
07:47:33
07:47:33
И, блин, нигде не сказано, что оно должно быть именно ca.crt и никак иначе...
пришли им pull-request в документациюStanislav09.08.2018
07:48:07
07:48:07
Тоже верно...
Slava09.08.2018
08:06:44
08:06:44
задача:
1) есть nginx-ingress c мэппинггом запросов в два бэкенда
2) первый бэкенд - простой nginx, отдающий конкретный json-файл по конкретному path (пусуть будет /myPath)
3) второй бэкенд - java app, - туда мэпится весь остальной трафик
при вызове первого бэкенда из браузера получаю blocked mixed content
как лечить?
Andor09.08.2018
08:07:37
08:07:37
http vs https
Slava09.08.2018
08:07:51
08:07:51
второй бэк нормально отдаёт результаты
не могу понять в чём разница
оба бэка по http внутри крутятся
ingress по https наружу смотрит
где-то с заголовками мутить надо
GoogleStanislav09.08.2018
08:10:18
08:10:18
nginx-ingress слушает http тоже. При этом броузер получил страницу по https, а дополнительный контент - пытается по http. Какого хрена - это не к ingress.
Andor09.08.2018
08:10:21
08:10:21
где-то у тебя http приезжает
Slava09.08.2018
08:11:00
08:11:00
внутрtнний траф весь по http
Andor09.08.2018
08:11:18
08:11:18
браузер у тебя на внутренний траффик смотрит разве?
Slava09.08.2018
08:11:30
08:11:30
но на первый бэк результатом получаю blocked mixed content, на второй всё ок
Alexey09.08.2018
08:11:31
08:11:31
Andor09.08.2018
08:12:00
08:12:00
"последний" это последние лет 5?
Alexey09.08.2018
08:12:03
08:12:03
Что-то с HSTS
Slava09.08.2018
08:12:23
08:12:23
пример
https://myapp.exmaple.com/myPath - blocked mixed content
https://myapp.example.com/api/news/1 - normal response
Alexey09.08.2018
08:12:23
08:12:23
Не, у меня последние недели 3 начала рандомно кидать на https там где его нет... ещё не разбирался.
Andor09.08.2018
08:12:52
08:12:52
> http://myapp.exmaple.com/myPath - blocked mixed content
браузер же пишет обычно чо именно у тебя там блокед
Alexey09.08.2018
08:13:58
08:13:58
https://superuser.com/questions/565409/chrome-how-to-stop-redirect-from-http-to-https
не таже проблема? Slava
Alexey09.08.2018
08:14:35
08:14:35
я?
Slava09.08.2018
08:14:46
08:14:46
все, кто принимал участие)
кстати, про причину моего трабла:
1) посылаю запрос по https : https://myapp.example.com/myPath
2) получаю ответ 301 на http://myapp.example.com/myPath/
3) результат - запрос ушёл по http, а не по https
вопрос: с какого перепугу он мне сделал редирект на /myPath/ (со слэшом в конце), да ещё и по http ? можно его отучить от этого? (может аннотация какая есть)
зы: в конфигах везде прописан "/myPath"
Salem09.08.2018
08:29:06
08:29:06
а приложуха на чем писана?
Slava09.08.2018
08:30:05
08:30:05
которая отвечает на /myPath ?
если да, то чуть выше писал про мэппинги в ingress
GoogleSlava09.08.2018
08:32:31
08:32:31
path: /myPath
backend:
serviceName: nginx-back-1
servicePort: 80
path: /
backend:
serviceName: java-app-1
servicePort: 80
мэпится всё нормально, в нужные бэкенды, но вот этот редирект со слэшом в конце и по http всю малину ломает
Andor09.08.2018
08:37:10
08:37:10
А нельзя редиректить с учётом схемы запроса?
Slava09.08.2018
08:38:47
08:38:47
я 80 наружу вообще не хочу открывать (если и открою, то только с редиректом на 443), поэтому https критичен, и не хочу, чтобы мне прилетали всякие http-запросы
хотя тут встаёт другой вопрос: почему ингресс http запрос на /myPath/ не с редиректил на https
Andor09.08.2018
08:39:38
08:39:38
а ты уверен что это ингресс редиректит?
Slava09.08.2018
08:40:00
08:40:00
с https на http ?
AdminERROR: S client not available
Salem09.08.2018
08:40:30
08:40:30
там не симфони какой-нить?
Slava09.08.2018
08:41:08
08:41:08
нет, первый бэк - nginx и ничего кроме, второй - vert.x (java)
Andor09.08.2018
08:41:25
08:41:25
лично я могу и на нжинксе сделать такой редирект
Slava09.08.2018
08:41:42
08:41:42
даже не чую, а знаю) в его логах вон светятся редиректы)
@Andorka, спасибо за вопрос)
Slava09.08.2018
08:43:21
08:43:21
правильно поставленный вопрос - 50% решения задачи
технологии идеальны, а вот руки ...
GoogleAndor09.08.2018
08:44:02
08:44:02
да не, технологии тоже говно, но по-разному
Slava09.08.2018
08:44:11
08:44:11
))
Twelfth09.08.2018
08:51:10
08:51:10
Есть ли готовый бинарник для local volume provisioner?
Vasilyev09.08.2018
08:57:12
08:57:12
Так я думал это сам докер делает? Не?
Vasilyev09.08.2018
08:58:47
08:58:47
Ага. Уже почитал. Спасибо
Twelfth09.08.2018
08:59:21
08:59:21
И этот provisioner не собирается
Vadim09.08.2018
09:01:35
09:01:35
Есть ли готовый бинарник для local volume provisioner?
https://github.com/kubernetes-incubator/external-storage/blob/master/local-volume/helm/provisioner/values.yaml#L70Svyatoslav09.08.2018
09:02:20
09:02:20
День добрый!
Тут доклад интересный прошел и мужик сказал что prometeus настраивали 2000 часов для работы с кубером
Alexey Pantin09.08.2018
09:04:39
09:04:39
Поделись докладом :)
Svyatoslav09.08.2018
09:05:08
09:05:08
это че так можно работодатели такие цифры говорить?
да туи коллега замутил вопрос, ща попробую доклад отрыть
Dmitry09.08.2018
09:06:38
09:06:38
День добрый!
Тут доклад интересный прошел и мужик сказал что prometeus настраивали 2000 часов для работы с кубером
Может у него почасовая ставкаSvyatoslav09.08.2018
09:06:52
09:06:52
https://youtu.be/zj6SlzzBRaA
тут вопрос, какой у вас опыт?
действительно все так вяло?
Alexey Pantin09.08.2018
09:07:54
09:07:54
Спасибо
Svyatoslav09.08.2018
09:08:16
09:08:16
кубернетс ковырял я вне прода и мониторингом его не занимался
Dmitry09.08.2018
09:08:25
09:08:25
На самом деле вполне реально конечно, если у тебя миллиарды метрик/терабайты данных и есть желание попатчить прометеус =)
Открыть в Telegram