образы не могут тянуться из гитлаб регистри, они тянутся из докер регистри

Садись, 2

Садись, 2

обоснуйте, товарищ гражданин

Потому что можно из любого реджистри тянуть

Садись, 2

почему?

Ну Олег же написал что из приватного регистри

Просто нужно бедт докеру описать, откуда тянуть

Именно

у гитлаба нет регистри

Есть

есть только интеграция с докер регистри

у гитлаба есть докер-реджистри

о боже))

точнее интеграция с ним

речь не про это

Это уже оффтоп

выписывание токенов

NAME READY STATUS RESTARTS AGE pod/my-service-55bc8c4b8-ng75s 0/1 ImagePullBackOff 0 1m pod/my-service-55bc8c4b8-sh8kj 1/1 Running 0 1m pod/my-service-55bc8c4b8-zglws 1/1 Running 0 1m

а токен доступа не expired к моменту пулла образа?

летс мортал комбат бегин

а токен доступа не expired к моменту пулла образа?

неа, я каждый раз в ci делаю replace токена + две другие реплики успешно же скачиваются и работают

Гитлаб случайно не в том же кластере?

в логах докер регистри нет ошибок или типо того?

неа, вообще отдельно в хецнере)

хм, логи регистри не подумал посмотреть, ща гляну

я где то читал что если юзать gitlab-ci-token юзера то возникают разные проблемы, и типа отдельно люди заводили фейковую учетку чисто под деплой из регистри

никто не сталкивался ?

юзаю токены, с проблемами не сталкивался

я где то читал что если юзать gitlab-ci-token юзера то возникают разные проблемы, и типа отдельно люди заводили фейковую учетку чисто под деплой из регистри

проблема только в том, что токен временный, не более. Можно увеличить время жизни

но там дефолт 5 мин, не мало

но там дефолт 5 мин, не мало

не, это другие токены

там можно для проекта deploy token сгенерить

выдать ридонли на реджистри

без доступа к коду

там можно для проекта deploy token сгенерить

пишет же gitlab-ci-token

а, да, сорян

с этими пару раз наступал на таймауты, но там я сам неправ был

авторизовался перед билдом, а не перед пушем )

так, а зачем токен?

у меня например в регистри по логину/паролю ходит

у меня например в регистри по логину/паролю ходит

ты пользователя не можешь ограничить доступом только к регистри, например

но в докер-регистри больше ничего нет, кроме регистри

в рамках гитлаба в каждом проекте свой регистри

https://docs.gitlab.com/ee/user/project/container_registry.html

ну, там subpath разные

Собственно там описано как дебажить

ах вот оно чё..... а я напрямую из докер-регистри всю жизнь тянул

короткий вопрос: patroni vs stolon

patroni

ack

@lazarenkod, на счет умирающих нод и Unknown подов, не должен ли эту задачу fencing-агент решать? Полагаю что openstack cloud provider по этой причине и сносил ноды из кластера. Но мое мнение, это не та проблема которую должен решать kubernetes. У вас должен быть отдельный сервис который запущен в том же кластере и следит за состоянием нод в кластере, и если какая-то из них выходит в NotReady, он выполняет внешний fencing и при необходимости отцепляет хранилку от нее, а затем удаляет все поды и PersistentVolumes который были запущенны на ней в kubernetes. Другими словами он гарантирует что данная нода полностью отрезана и поды на ней можно безболезненно перезапустить где-то еще.

Кто-нибудь сталкивался с проблемой autoscaling с включенным аддоном heapster, но при запущенном deployment и настроенном hpa ресуры Target is Unknown? Что с этим делать? Пробую локально на minikube на macos

@kvaps, кстати, у Вас нет ошибки тут: lxc.cap.drop: ?

Т.е. у Вас значение свойства пустое

patroni

Почему patroni? У patroni нет прокси, например.

Т.е. у Вас значение свойства пустое

так и должно быть: так как нам не нужно что бы какие-нибудь capabilities дропались там

емнип по умолчанию используется значение из lxc-шаблона

спустя 2 недели пришёл ответ ^_^ , но всё равно не даёт платёжный счёт создать, фото паспорта\карты ждёт )) This credit, along with your $300 GCP free trial, provides you with $500 to try Google Cloud Platform.

Регай новый)

Регай новый)

да понятно, я к тому, что для кого-то быстро, для кого-то долго

Почему patroni? У patroni нет прокси, например.

для моего простенького юзкейса мне подходил

Кто-нибудь сталкивался с проблемой autoscaling с включенным аддоном heapster, но при запущенном deployment и настроенном hpa ресуры Target is Unknown? Что с этим делать? Пробую локально на minikube на macos

Настраивал autoscaling кто-нибудь?

Кто-нибудь сталкивался с проблемой autoscaling с включенным аддоном heapster, но при запущенном deployment и настроенном hpa ресуры Target is Unknown? Что с этим делать? Пробую локально на minikube на macos

а лимиты указаны?

да kubeless autoscale create $1 --min 1 --max 10 --value 10

да kubeless autoscale create $1 --min 1 --max 10 --value 10

You need to specify resource requests in the Pod spec section of your deployment for the HPA to be able to display that information (and take any action whatsoever based on it).

но я могу быть не прав)

А чо такое kubeless?

А чо такое kubeless?

Обёртка над кубернетс, которая позволяет создавать описывать serverless функции

Билщит бинго

по поводу не спуливания образа из гитлаб регистри, вот что вижу в логе регистри "error authorizing context: authorization token required"

секрет создан так: kubectl create secret -n namespace docker-registry gitlab-registry --docker-server="$CI_REGISTRY" --docker-username="$CI_REGISTRY_USER" --docker-password="$CI_REGISTRY_PASSWORD" --docker-email="$GITLAB_USER_EMAIL" -o yaml --dry-run | sed 's/dockercfg/dockerconfigjson/g' | kubectl replace -n namespace --force -f -

А в самом докере добавили insecure registry?

И надо прописать в deployment или в том, что создается, откуда токен тянуть

у меня дефолтный gitlab container registry, настроенный через gitlab.rb

imagePullSecrets: - name: gitlab-registry это есть

Может namespace не дает

Он при создании подов не ругается, что не нашел secret?

емнип у гитлаба какая-то сложная система с аутентификацией, там вроде два сервера надо добавлять - один для самого гитлаба и один для регистри

Я бы попробовал сначала просто докером спуллить образ, а потом уже дальше двигаться

мы делали логин докером и совали созданный dockercfg в секрет - там емнип два сервера и два разных токена (но это может быть актуально только для gitlab.com)

docker pull myimage и смотреть, что ему не понравится

вот после последнего деплоя вот такой describe https://gist.github.com/flomsk/8af681daa15ac3c124f219a82a6abd99

о щет, ща скину в гист

unauthorized: HTTP Basic: Access denied

Вот отсюда и надо плясать

да я понимаю, но я писал изначально

Всем привет. Никто не подскажет в чем может быть дело. Есть deployment, три реплики, образы тянутся с приватного гитлаб регистри. Стабильно одна реплика не взлетает типа registry http access denied . Каждый раз это происходит на разных нодах. напрямую ssh и docker pull отрабатывает.

сорян

другие реплики поднимаются

секрет вроде корректен kubectl -n namespace get secret gitlab-registry --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode {"auths":{"registry.example.io":{"username":"gitlab-ci-token","password":"somepass","email":"o@example.io","auth":"someauth"}}}%

Может всё таки в namespace-ах проблема

попробовать namespace указать на уровне ямл ?

Все сервисы примитивные и используются всеми подряд, каких то "Вау у них Envoy\Istio искаропки!" нет Может кто то сможет найти вкусности их облака?

те же что и у амазона. экосистема

те же что и у амазона. экосистема

только амазон в разы круче а стоить будет также

@lazarenkod, на счет умирающих нод и Unknown подов, не должен ли эту задачу fencing-агент решать? Полагаю что openstack cloud provider по этой причине и сносил ноды из кластера. Но мое мнение, это не та проблема которую должен решать kubernetes. У вас должен быть отдельный сервис который запущен в том же кластере и следит за состоянием нод в кластере, и если какая-то из них выходит в NotReady, он выполняет внешний fencing и при необходимости отцепляет хранилку от нее, а затем удаляет все поды и PersistentVolumes который были запущенны на ней в kubernetes. Другими словами он гарантирует что данная нода полностью отрезана и поды на ней можно безболезненно перезапустить где-то еще.

а я считаю, что fencing как раз и должен куб делать

только амазон в разы круче а стоить будет также

А не будет больше вашего амазона!

Это чё это?