Там точно есть и не замужем и дивапс

Был бы я свободен, то спросил бы юзернеймы, но так просто порадуюсь за коллег по цеху

Хороший наброс

разачарован

Хороший наброс

Надо чтоб кто то со сцены задал два вопроса: 1) у кого в кубере есть базы 2) у кого вообше есть кубер

Привет всем! подскажите, сталкнулся с такой траблой с интеграцией RBAC и Azure AD Делал по гайдлайну https://docs.microsoft.com/en-us/azure/aks/aad-integration Все круто, можно добавить AD пользователей в RBAC роли - все работает афигительно. с одним но. пользователей необходимо добавлять в IAM c правами хотябы Contibutor чтобы они могли делать az aks get-credentials. Если не дать пользователю права Contibutor у них будет сл. ошибка The client 'bla-bla-bla@test.test' with object id 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' does not have authorization to perform action 'Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action' Если дать права Contibutor то такие пользователи с могут получать и админские кренделя az aks get-credentials --admin (И быть админами кластера) Можно сделать кастомную роль типа такой https://gist.github.com/brbarnett/6e5d13a1c9961833e48bf8ddd95019e8 но как мне кажется пользователи с такой ролью тоже могут стать админами Есть вот такое свежее ишью, я так и не понял почему его закрыли... и как с этим бороться Limiting who can assume Admin · Issue #10754 · MicrosoftDocs/azure-docs https://github.com/MicrosoftDocs/azure-docs/issues/10754

разачарован

Тем что кубернетис это не марафон?)

думал будет более информативнее

хотя такие мероприятия нужны

разачарован

Чем?

Надо чтоб кто то со сцены задал два вопроса: 1) у кого в кубере есть базы 2) у кого вообше есть кубер

Ну на прошлом мероприятии средний скилл был очень даже

думал будет более информативнее

там часть людей в зале кубернетис ставили 1 раз в жизни кубеспреем, если ты умеешь читать доку то конечно тебе скучно будет

Чем?

потому что они рассуждают со своего scope of view, не приводят варианты реализации, какие кейсы есть и тд

ну накидайте докладчику вопросов!

че вы как маленькие

да какие тут вопросы…

Про этот суверенный S3 спросили у мейлрушников?

ну накидайте докладчику вопросов!

Давайте! Озвучим

Про этот суверенный S3 спросили у мейлрушников?

не из цепха что ли?

не из цепха что ли?

нет

не из цепха что ли?

Я только по слухам знаю

нет

но лежит то хоть на цефе?

Кластера VMware

Вопросы к Дмитрию?

Нет ) сорян

Эх ща бы клиент за Клауд провайдера побенчмаркал лб

Есть GPU в кубере MRG?

Невидию кстати можно прокидывать в поды, там даже есть магия постгрес ускорять на gpu https://blog.openshift.com/gpu-accelerated-sql-queries-with-postgresql-pg-strom-in-openshift-3-10/

передайте докладчику: Зря отказались от фланели - её можно перенастроить на общение через аписервер и не будет праблы с третьей етцд

pgstorm - старая тема же

Невидию кстати можно прокидывать в поды, там даже есть магия постгрес ускорять на gpu https://blog.openshift.com/gpu-accelerated-sql-queries-with-postgresql-pg-strom-in-openshift-3-10/

+

привет, куб кластер с 3-мя нодами мастера, все api сервера валятся с ошибкой: E0809 18:06:13.001193 1 client_ca_hook.go:112] Put https://127.0.0.1:443/api/v1/namespaces/kube-system/configmaps/extension-apiserver-authentication: dial tcp 127.0.0.1:443: getsockopt: connection refused E0809 18:06:13.001278 1 storage_rbac.go:161] unable to initialize clusterrolebindings: Get https://127.0.0.1:443/apis/rbac.authorization.k8s.io/v1/clusterrolebindings: dial tcp 127.0.0.1:443: getsockopt: connection refused F0809 18:06:13.001324 1 controller.go:139] Unable to perform initial service nodePort check: unable to refresh the port block: Get https://127.0.0.1:443/api/v1/services: dial tcp 127.0.0.1:443: getsockopt: connection refused

какого он лезет на localhost?

давайте спросим того кто сетапил сервера

Я сетапил, что надо сказать?

вру, валятся 2 апи сервера

запись докладов же потом останется?

@DenisIzmaylov

давайте спросим того кто сетапил сервера

у всех трех нод в кластере конфиги идентичны, но 2 из них какого-то хера ломятся на localhost

и они походу не лидеры

запись докладов же потом останется?

посмотри второй доклад. тебе понравится

посмотри второй доклад. тебе понравится

Про хостинг?

да

да, смотрю просто уходить надо)

и они походу не лидеры

Апи серверу пофигу

Апи серверу пофигу

ну вот 1 работает а 2 валятся

притом это внезапно произошло, до этого все было ок

Ну явно что-то не так настроено :)

какого черта вообще на локалхост?

Ну явно что-то не так настроено :)

ага, но вот что...

запись докладов же потом останется?

Запись скроем после трансляции, но через пару недель выложим отдельные видео на канал MCS: https://www.youtube.com/channel/UCnvbzVff0AGuHHzxcDTtj6w

Аррр

ага, но вот что...

Ну такое ощущение что в настройках стоит локалхост анонс

Ну такое ощущение что в настройках стоит локалхост анонс

https://pastebin.com/CeiGAZCr

посмотри второй доклад. тебе понравится

Отличный доклад. Хоть кто-то рассказал, как поел говна двумя руками. А то во всех докладах радуга и все работает.

Ну такое ощущение что в настройках стоит локалхост анонс

там localhost только insecure bind

но он на 8080

там localhost только insecure bind

Конфиг одинаковый везде?

Конфиг одинаковый везде?

да, только - --advertise-address=10.230.22.31 отличается

@DenisIzmaylov вопрос если не зададут. они для CD пишут оператора или обвязку над helm как собираются переходить с helm

да, только - --advertise-address=10.230.22.31 отличается

Я даже не знаю. А реально в поде так же запущено? А если убрать insecure адрес?

тогда скорее всего контроллеры отвалятся

так

ну и скедулеры

они на localhost:8080 ходють

хотя нет

@DenisIzmaylov вопрос если не зададут. они для CD пишут оператора или обвязку над helm как собираются переходить с helm

Сейчас задам

так только kubelet ходит, на localhost:8080 — остальные через elb

А у контроллеров и шедулеров настроено elect leader? (Ну это так, на всякий)

Сейчас задам

Спасибо!

А у контроллеров и шедулеров настроено elect leader? (Ну это так, на всякий)

вроде нет

передайте докладчику: Зря отказались от фланели - её можно перенастроить на общение через аписервер и не будет праблы с третьей етцд

Это решение было не только из-за таймаутов, но и из-за отсутсвия шифрования. Calico, как и Weave, позволяет это сделать из коробки, а также network policy

Есть GPU в кубере MRG?

Да, есть. На базе Tesla V100

Спасибо

Сейчас задам

Задал:)

Ещё вопросы?

Это решение было не только из-за таймаутов, но и из-за отсутсвия шифрования. Calico, как и Weave, позволяет это сделать из коробки, а также network policy

А как при этом с задержками? Тестили? Есть разница? У нас есть клиент, работающий с биржей - он каждую миллисекунду считает))

А у контроллеров и шедулеров настроено elect leader? (Ну это так, на всякий)

https://pastebin.com/GmqQtTic https://pastebin.com/A2LFUwLg

прикольно, после серии падений api-server поднялся

ну один из них

херня какая-то

Предлагаю вместо митапа проводить группы анонимных разворачивателей куба

Предлагаю вместо митапа проводить группы анонимных разворачивателей куба

Собираться в круг и сочувствовать друг другу?

Собираться в круг и сочувствовать друг другу?

Плакать друг у друга на груди

Собираться в круг и сочувствовать друг другу?

Я Антон, и я разворачиваю Kubernetes

Я Антон, и я разворачиваю Kubernetes

Аплодисменты

- А как вы переживали падение куба? - Заявление на увольнение писали

- А как вы переживали падение куба? - Заявление на увольнение писали

Ну не весь кластер же

Дима с козырей зашёл

да

Что то с api для helm я ржу

@count0ru прекрати