Если поды созданы деплойментами - можно заскейлить в ноль.

не потеряю. У меня везде Retain, нет StorageClass, т.к. я кубику в этом не стал доверять

!спам

https://blog.quay.io/torrent/ у меня одного говорит что сертификат протух?

спасибо

прикольно, ещё и в 2017 году

(сам в подробности не смотрел)

@etkee спасибо тебе кстати

за что?

Я там чуть ниже скинул

а лол

я тоже в :ship-it: подсунул, правда там не разобрать ничего

прошло 0 дней с просьбы админам запустить уже хоть какого-то бота

прошло 0 дней с просьбы админам запустить уже хоть какого-то бота

Да надо захостить будет

прошло 0 дней с просьбы админам запустить уже хоть какого-то бота

устроим революцию и сделаем новый чатик!?

уже давно же

Да надо захостить будет

захосчу у себя в опеншифтовом чате и тогда напишу тебе

искаропки

захосчу у себя в опеншифтовом чате и тогда напишу тебе

а есть какая-нибудь презентация типа опешнфит вс кубер(ранчер)? я чет ток на немецком нашел

а есть какая-нибудь презентация типа опешнфит вс кубер(ранчер)? я чет ток на немецком нашел

"пчелы против мёда"?

"пчелы против мёда"?

ну опеншифт это форк, плюс еще какие-то свои зависимости и версии и все такое

ну опеншифт это форк, плюс еще какие-то свои зависимости и версии и все такое

ага, тут один гражданин недавно говорил что это "кубернетес - это бэкфорк опеншифта", вы из той же секты? :)

ага, тут один гражданин недавно говорил что это "кубернетес - это бэкфорк опеншифта", вы из той же секты? :)

ток из параллельной вселенной походу

https://medium.com/levvel-consulting/the-differences-between-kubernetes-and-openshift-ae778059a90e наверное ближе всего к тому что ты хочешь

спасибо, гляну. Ну я в данном случае вообще как наркоман себя веду да - я опеншифт как бы и не смотрел еще даже т к не успел, но я знаю как любит делать редхат - типа обмазаться бекпортами и все такое

вот и хочется узнать есть ли где-то разбор есть ли в чем разница концептуальная под капотом, а то я иногда встречаю даже такое что «ааа в редхата версия докера старая»

разница только в допфичах, поддержке, бэкпортах фиксов и некоторых особенных твиках типа запрета рута дефолтно и так далее

ну и в узаконеныз зомбаках при деплойконфигах)

вот и хочется узнать есть ли где-то разбор есть ли в чем разница концептуальная под капотом, а то я иногда встречаю даже такое что «ааа в редхата версия докера старая»

openshift vs k8s = k8s vs docker = docker vs cgroups

openshift vs k8s = k8s vs docker = docker vs cgroups

ну нет

openshift это продукт, который в качестве двигателя использует k8s

их не надо противопоставлять

давай типа тогда контейнерды вс докер ваниальный вс докер редхата который как бэ атомик

ну в общем и целом да/ кубер это технология опеншифт это продукт

такой же как и ibmPrivate Cloud, Kubler и еже с ними

их не надо противопоставлять

лолвут? если вопрос не понятен можно уточнить было, а не делать странные субъективные выводы

ну опять же нет

это разный код

причем если в опешнфит еще посмотреть можно ибм тебе не покажет так просто

забавные вы вещи говорите

давай типа тогда контейнерды вс докер ваниальный вс докер редхата который как бэ атомик

atomic как бы не докер) atomic как бы спец сьборка ОС -)

лолвут? если вопрос не понятен можно уточнить было, а не делать странные субъективные выводы

в вашем вопросе был vs - это синоним противопоставления

причем если в опешнфит еще посмотреть можно ибм тебе не покажет так просто

вы же понимаете, что закрытие кода кубера - это нарушение лицензии? :)

да ну?

кто ж его закрывать будет

вы же понимаете, что закрытие кода кубера - это нарушение лицензии? :)

так они тебе патчи зашлют на гитхаб, ток учитывая как в опенсорсе все устроено будет ли их кто-то форсить вопрос и вообще есть ли в этом необходимость для апстрима

в вашем вопросе был vs - это синоним противопоставления

окей. я даю тебе чистый кубер сейчас из мастера ты мне к нему подключаешь всю обвязку от опешнифта?

это кстати в определенной форме планируется

я думаю это doable

но я не стану это доказывать :)

по крайней мере, кубер там скорее всего ставится так же из тех же реп

disclaimer: я openshift не ставил ни разу, так, интересовался

захосчу у себя в опеншифтовом чате и тогда напишу тебе

Ага

устроим революцию и сделаем новый чатик!?

Уже есть

это кстати в определенной форме планируется

ну планы это круто

ну планы это круто

насколько я понял это для ребейзов, а не "вот мой k8s, впилите туда опеншифтовые абстракции" - это было бы безумно

насколько я понял это для ребейзов, а не "вот мой k8s, впилите туда опеншифтовые абстракции" - это было бы безумно

да в этом плане я ничего не предъявляю опять же, прост интересно какого рода изменения и планы на все это.

апгрейд кто у себя calico с 2 на 3? какие есть подводные камни?

Дохрена

ERROR: S client not available

Но если с калико есть опыт, то почти нет

kubectl logs calico-node-vzc5v -n kube-system -c calico-node 2018-08-20 16:14:31.324 [INFO][9] startup.go 251: Early log level set to info 2018-08-20 16:14:31.324 [INFO][9] startup.go 267: Using NODENAME environment for node name 2018-08-20 16:14:31.324 [INFO][9] startup.go 279: Determined node name: kube-node-ko01.i 2018-08-20 16:14:31.325 [INFO][9] startup.go 302: Checking datastore connection 2018-08-20 16:14:31.338 [WARNING][9] startup.go 314: Connection to the datastore is unauthorized 2018-08-20 16:14:31.338 [WARNING][9] startup.go 1058: Terminating Calico node failed to start

встречался кто?

встречался кто?

Для SA который использует calico нахватает RBAC всех?

Для SA который использует calico нахватает RBAC всех?

ну у меня две ноды уже работают, вот третью хотел поднять

хм, может апи сервер криво настроен.

пойду гляну

хм, может апи сервер криво настроен.

да, у апи сервера в этом дц был не тот сервисаккаунт ключ.

Привет всем, а кто-нибудь исследовал вопрос IDS/IPS (Intrusion prevention/detection service )для кубера?

Привет всем, а кто-нибудь исследовал вопрос IDS/IPS (Intrusion prevention/detection service )для кубера?

https://github.com/aquasecurity/kube-hunter например

https://github.com/aquasecurity/kube-hunter например

пробовали?

пробовали?

да, но ничего особого он не показал пока

да, но ничего особого он не показал пока

надо будет на своем запустить )

Я вообще смотрел в сторону - Network-based IDS systems типа Snort, Suricata. etc. Но их в кубере не юзают. из того что нашел - draios/falco: Sysdig Falco: Behavioral Activity Monitoring With Container Support https://github.com/draios/falco/ но он совсем не Network-based IDS

openscap еще умеет глядеть внутрь контейнеров, но наверное в имаджи, а не бегущие поды

Ладно, нубский вопрос, можно ли сделать в кубере так, чтобы весь трафик в класрер проходил через ноду/поду - а там поставить snort, suricata, etc - чтобы он через себя трафик пропускал

Внешний трафик или весь?

Ладно, нубский вопрос, можно ли сделать в кубере так, чтобы весь трафик в класрер проходил через ноду/поду - а там поставить snort, suricata, etc - чтобы он через себя трафик пропускал

Мне кажется в Calico можно наколдовать через bgp

Feature request - IDS/IPS support · Issue #1084 · projectcalico/calico https://github.com/projectcalico/calico/issues/1084

Тут пишут, что PCI аудиторы одобрям network policy но все же хотят IDS/IPS PCI DSS requirement 11.4: 11.4 Use intrusion-detection and/or intrusion-prevention techniques to detect and/or prevent intrusions into the network. Monitor all traffic at the perimeter of the cardholder data environment as well as at critical points in the cardholder data environment, and alert personnel to suspected compromises.

Интересно, вообще реально пройти PCI DSS на кубере?

Раз речь о Калико, как мне разрешить поду общаться с апи сервером? Надо глобал нетворк полиси использовать?

Интересно, вообще реально пройти PCI DSS на кубере?

реально, раз опеншифт в нем сертифицирован. Привязываешь ингрессы к одной ноде и мониторишь её

да, вариант

докер-инсталляции точно проходили DSS. Даже есть отдельные рекомендации

Интересно, вообще реально пройти PCI DSS на кубере?

Monzo банк говорят вообще весь в кубере и в клауде

на своей презентации про outage они рассказывают, что как минимум процессинг мастер-кард у них НЕ в кубере и НЕ в клауде

кстати, если кто-то запускал etcd-operator, теряли кворум с ним?

Интересно, вообще реально пройти PCI DSS на кубере?

PCI DSS это вроде про контур