Я что-то не понимаю эту сущность. А можно подробнее? И зачем его подменяют на gcr.io/google_containers/defaultbackend ?

не только 503 https://github.com/kubernetes/ingress-nginx/tree/master/images/404-server

404-server is a simple webserver that satisfies the ingress, which means it has to do two things: Serves a 404 page at / Serves 200 on a /healthz

не только 503 https://github.com/kubernetes/ingress-nginx/tree/master/images/404-server

Ааа... gcr.io/google_containers/defaultbackend добавляет просто prometheus метрики, да?

Ааа... gcr.io/google_containers/defaultbackend добавляет просто prometheus метрики, да?

а это разве не дефолтный бекен для ингресса?

@DemiGray порекламируй людям ранчер)

Использую) активно) Есть нюансы, но меньше чем с голым кубом

Использую) активно) Есть нюансы, но меньше чем с голым кубом

Потому что там голый чайник?)

Да уж, раньше ранчер был ой каким сырым:) а сейчас вон сколько вас его начало использовать

Потому что там голый чайник?)

Чайник?:)

Да уж, раньше ранчер был ой каким сырым:) а сейчас вон сколько вас его начало использовать

Сейчас он на кубе, а не катле своём)

Чайник?:)

Ну, Cattle же)

а это разве не дефолтный бекен для ингресса?

А как проверить какой сейчас стоит?

А как проверить какой сейчас стоит?

дефолтный не в том смысле что он идет по дефолту с ингрессом, а в том смысле что на него валятся все непонятные ингрессу запросы

дефолтный не в том смысле что он идет по дефолту с ингрессом, а в том смысле что на него валятся все непонятные ингрессу запросы

А если gcr.io/google_containers/defaultbackend не деплоить, то что будет происходить?

А если gcr.io/google_containers/defaultbackend не деплоить, то что будет происходить?

Default Backends: An Ingress with no rules, like the one shown in the previous section, sends all traffic to a single default backend. You can use the same technique to tell a loadbalancer where to find your website’s 404 page, by specifying a set of rules and a default backend. Traffic is routed to your default backend if none of the Hosts in your Ingress match the Host in the request header, and/or none of the paths match the URL of the request. https://kubernetes.io/docs/concepts/services-networking/ingress/

Default Backends: An Ingress with no rules, like the one shown in the previous section, sends all traffic to a single default backend. You can use the same technique to tell a loadbalancer where to find your website’s 404 page, by specifying a set of rules and a default backend. Traffic is routed to your default backend if none of the Hosts in your Ingress match the Host in the request header, and/or none of the paths match the URL of the request. https://kubernetes.io/docs/concepts/services-networking/ingress/

Примерно понял. Спасибо

Default Backends: An Ingress with no rules, like the one shown in the previous section, sends all traffic to a single default backend. You can use the same technique to tell a loadbalancer where to find your website’s 404 page, by specifying a set of rules and a default backend. Traffic is routed to your default backend if none of the Hosts in your Ingress match the Host in the request header, and/or none of the paths match the URL of the request. https://kubernetes.io/docs/concepts/services-networking/ingress/

случайно кстати была ситуация, когда залили ingress resource без hosts и перебили default backend =)

случайно кстати была ситуация, когда залили ingress resource без hosts и перебили default backend =)

?

Примерно понял. Спасибо

Вот еще достаточно хорошо описано: https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/default-backend.md

Всем привет. Кто нибудь запускал akka внутри куба ?

Всем привет. Кто нибудь запускал akka внутри куба ?

а в чем проблема?

а в чем проблема?

hostname\bind-hostname. не могу понять что туда правильно вписать. суть такая: есть деплоймент с 3 репликами и сервис, допустим app1.app.svc.cluster.local:8080. есть вторая аппка которая лезет по akka протоколу на нее (тоесть я указал akka.tcp://ActorSystem@app1.app.svc.cluster.local:8080 ). первая аппка валит ERROR akka.remote.EndpointWriter - dropping message [class akka.actor.ActorSelectionMessage] for non-local recipient [Actor[akka.tcp://ActorSystem@app1.app.svc.cluster.local:5150/]] arriving at [akka.tcp://ActorSystem@app1.app.svc.cluster.local:5150] inbound addresses are [akka.tcp://ActorSystem@10.244.42.108:5150]

я указывал pod_ip и в hostname потом менял на bind-hostname, много пробовал разных конфигов но чот пока не хочет))

Я бы стейтфулсетом попробовал сделать. Скорее всего впрочем в настройках можно поменять разрешения на прием сообщений.

Подскажите. При вызове kubectl port-forward ..... происходит ошибка error: error upgrading connection: unable to upgrade connection: error dialing backend: x509: certificate signed by unknown authority Логи просмотрел и на нодах и в подах. Ничего. Возникает при helm ls

конфигурация KUBECONFIG одна и таже?

да

kubectl get pods -n kube-system tiller-deploy-597c48f967-cznjc 1/1 Running 0 17m kubectl port-forward —namespace kube-system tiller-deploy-597c48f967-cznjc 44134:44134 error: error upgrading connection: unable to upgrade connection: error dialing backend: x509: certificate signed by unknown authority

куб 1.11 развернут с помощью kubeadm сеть calico

Чекните днс

Пару дней назад была такая же проблема

днс на coredns dig @192.168.0.4 kubernetes.default.svc.cluster.local +noall +answer ; «» DiG 9.10.3-P4-Debian «» @192.168.0.4 kubernetes.default.svc.cluster.local +noall +answer ; (1 server found) ;; global options: +cmd kubernetes.default.svc.cluster.local. 5 IN A 10.96.0.1

возможно это из-за отсутствия dnsmasq?

Народ, а кто-нибудь envoy использовал у себя в микроссервисах? Есть адекватные доки по его конфигурации?

Народ, а кто-нибудь envoy использовал у себя в микроссервисах? Есть адекватные доки по его конфигурации?

https://www.envoyproxy.io/

:D

:D

> адекватные

а чем тебя эти смущают

читаешь про лоадбалансинг, а там как у Лема

Сепульки используются в сепулькарии, а сепулькарий - это то где сепульки

в Istio так же

а чем тебя эти смущают

Ну так ты ответишь, сереженька?

?

тут-то ты отмазаться и в бан запихнуть не можешь

?

клоун

идите пожалуйста в приватный чат

а чем тебя эти смущают

а ты пробовал?

Сепульки используются в сепулькарии, а сепулькарий - это то где сепульки

в Istio так же

янихуянепонял

в Istio так же

потому я и спрашиваю про нормальные

что там в истио не особо интересует

что там в истио не особо интересует

а что ты хочешь получить то?

я хочу лоад балансинг, но не раунд робином, а чтобы запоминались сессии

кто куда раньше ходил, тот и пойдет сейчас

я хочу лоад балансинг, но не раунд робином, а чтобы запоминались сессии

kube-router?

кто куда раньше ходил, тот и пойдет сейчас

тебе надо приклеивание к поду?

конкретному?

я хочу лоад балансинг, но не раунд робином, а чтобы запоминались сессии

https://hub.docker.com/r/imkulikov/nginx-sticky/

ERROR: S client not available

идите пожалуйста в приватный чат

Э что мне читать тогда

Э что мне читать тогда

Да забей

/report

https://github.com/aquasecurity/kube-hunter - интересная идея

https://github.com/aquasecurity/kube-hunter - интересная идея

Воу! Спс

Всем привет! Вопрос по nginx ingress и acl: необходимо закрыть только один из нескольких paths по whitelist'у. Если использовать annotation: nginx.ingress.kubernetes.io/whitelist-source-range 1.2.3.4/32 то, насколько я понимаю, ACL сработает глобально и закроет все paths. Как закрыть только один из paths?

В ingress можно несколько path каждый со своим backend, шлите ненужные на defaultbackend скажем

Ну, Cattle же)

Не, счас там кубер же внизу)

В ingress можно несколько path каждый со своим backend, шлите ненужные на defaultbackend скажем

Вопрос был не в том, как несколько path создать, а в том, как закрыть один из них и открыть только по whitelist'у.

Вопрос был не в том, как несколько path создать, а в том, как закрыть один из них и открыть только по whitelist'у.

Мы разные ingress для этого делаем. А лично я негодую от необходимости ограничения по IP клиента:)

Ещё там был какой то баг с возможностью подменить x forwarded for

Мы разные ingress для этого делаем. А лично я негодую от необходимости ограничения по IP клиента:)

Да, разные ingress и сделал. Есть некое api, которое очень боимся открывать всем подряд, ибо ещё сыровато, да и только для пары клиентов оно, так что ограничили ещё и по IP.

/report

/report

/report

/report

/report

канал уже прибили, кстати

а вот юзер пока живой, непорядок

А что значит прибили? открывается же

попробуйте открыть канал "трансформатор", откуда сообщение сфорвардлено

и будет фига

@SinTeZoiD

рекламируют то не трансформатор. А аналитика

ну вот на аналитика тоже надо репорт сделать

когда их много - саппорт просыпается и банит канал

главное - чтобы было много

Я вчера 1 пост там прочитал, чуть мозг не сломал. Закрученные рассуждения в стиле... Если бы в кресле сидела невидимая кошка, оно казалось бы пустым. Оно пустым кажется. Следовательно, в нём сидит невидимая кошка.

Я вчера 1 пост там прочитал, чуть мозг не сломал. Закрученные рассуждения в стиле... Если бы в кресле сидела невидимая кошка, оно казалось бы пустым. Оно пустым кажется. Следовательно, в нём сидит невидимая кошка.

а смысл там что-то читать? Это так называемый теханализ. Логика или какая-то концепция там даже не ночевала. Даже гадать по жабам выйдет более научно

если найдете канал гадания по жабам - вы знаете, кого пинговать