и в любом случае я это прибиваю по хосту

смотрите что нарыл Не рабочие пинги 10.36.0.13 > 8.8.8.8: ICMP echo request, id 593, seq 72, length 64 18:07:07.118909 IP (tos 0x0, ttl 64, id 46872, offset 0, flags [DF], proto ICMP (1), length 84) 10.36.0.0 > 8.8.8.8: ICMP echo request, id 593, seq 72, length 64 18:07:07.118911 IP (tos 0x0, ttl 64, id 46872, offset 0, flags [DF], proto ICMP (1), length 84) 10.36.0.0 > 8.8.8.8: ICMP echo request, id 593, seq 72, length 64 18:07:07.118918 IP (tos 0x0, ttl 64, id 46872, offset 0, flags [DF], proto ICMP (1), length 84) 10.36.0.0 > 8.8.8.8: ICMP echo request, id 593, seq 72, length 64 Рабочие пинги 10.36.0.14 > 8.8.8.8: ICMP echo request, id 3295, seq 5, length 64 18:08:07.502037 IP (tos 0x0, ttl 64, id 36915, offset 0, flags [DF], proto ICMP (1), length 84) 10.36.0.14 > 8.8.8.8: ICMP echo request, id 3295, seq 5, length 64 18:08:07.502068 IP (tos 0x0, ttl 63, id 36915, offset 0, flags [DF], proto ICMP (1), length 84) 172.16.1.5 > 8.8.8.8: ICMP echo request, id 3295, seq 5, length 64 18:08:07.504424 IP (tos 0x0, ttl 118, id 20394, offset 0, flags [none], proto ICMP (1), length 84) 8.8.8.8 > 172.16.1.5: ICMP echo reply, id 3295, seq 5, length 64 18:08:07.504445 IP (tos 0x0, ttl 117, id 20394, offset 0, flags [none], proto ICMP (1), length 84) 8.8.8.8 > 10.36.0.14: ICMP echo reply, id 3295, seq 5, length 64 18:08:07.504451 IP (tos 0x0, ttl 117, id 20394, offset 0, flags [none], proto ICMP (1), length 84) 8.8.8.8 > 10.36.0.14: ICMP echo reply, id 3295, seq 5, length 64

откуда могло взяться это 10.36.0.0

откуда могло взяться это 10.36.0.0

ip a show weave

т.е. вместо айпишника хоста 172.16.1.5 подставляется 10.36.0.0 причём это 2 контейнера на одной и той же машине, просто запущены в разное время

ip a show weave

weave: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1376 qdisc noqueue state UP group default qlen 1000 link/ether 2e:71:5d:c5:cc:24 brd ff:ff:ff:ff:ff:ff inet 10.36.0.0/12 brd 10.47.255.255 scope global weave valid_lft forever preferred_lft forever

на второй ноде где нету такой проблемы 9: weave: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1376 qdisc noqueue state UP group default qlen 1000 link/ether b6:b7:85:90:3f:ee brd ff:ff:ff:ff:ff:ff inet 10.36.0.0/12 scope global weave valid_lft forever preferred_lft forever inet 10.47.128.1/12 brd 10.47.255.255 scope global secondary weave valid_lft forever preferred_lft forever inet6 fe80::b4b7:85ff:fe90:3fee/64 scope link valid_lft forever preferred_lft forever

на второй ноде где нету такой проблемы 9: weave: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1376 qdisc noqueue state UP group default qlen 1000 link/ether b6:b7:85:90:3f:ee brd ff:ff:ff:ff:ff:ff inet 10.36.0.0/12 scope global weave valid_lft forever preferred_lft forever inet 10.47.128.1/12 brd 10.47.255.255 scope global secondary weave valid_lft forever preferred_lft forever inet6 fe80::b4b7:85ff:fe90:3fee/64 scope link valid_lft forever preferred_lft forever

а есть разница в ip route

а есть разница в ip route

нету

Я бы понял если бы сеть вообще не работала, а она сперва работает, а потом нет. Я предполагаю что сам контенйер weave-net через время что-то обновляет и из-за каких-то особенностей конкретного сервака делает это криво.

Я бы понял если бы сеть вообще не работала, а она сперва работает, а потом нет. Я предполагаю что сам контенйер weave-net через время что-то обновляет и из-за каких-то особенностей конкретного сервака делает это криво.

еще можно посмотреть iptables-save, но их тяжело читать

Вроде всё нормально там

я уже думаю, то ли ось снести, то ли поменять cni

еще можно посмотреть iptables-save, но их тяжело читать

слушай, а нормально что на 2-х хостах одинаковые подсети?

что-то мне кажется что нет

хотя если озадачится можно реально зафигачить свой ресурс под такого рода задачи тем более в разработке и тестировании задача всплывает достаточно часто ну кластер мой ) хосты тоже мои) код не произвольный а тщательно выверенный, да и в общем то мне его не обязательно запускать на хосте достаточно контейнера с правами на mount диска и операции с lvm

at же любую команду запускать позволяет. Раз mount и lvm есть, значит privileged контейнер, все равно что хост

Ну да Без вариантов Контроллеру также права нужны

Но контролёр сам живёт и ему никто не говорит что делать

Такой вопрос: а есть ли какой-нибудь способ восстановить системные clusterrolebinding, которые были удалены? clusterrolebinding "system:basic-user" clusterrolebinding "system:controller:cronjob-controller и т.п.

а у меня вопрос по легче ... дашбоард заходит без пароля )

сразу вываливая поднаготную )

как пофиксить

Да, я к вопросу присоединюсь про дашборд. Вообще он логично себя ведёт. Ты заходишь туда под дефолтной учеткой. И в принципе этой дефолтной учетке даже не все разрешено

Заходить в settings нельзя, например

Если пойти в консоль, вытащить токен, то можно зайти под сервисной учеткой. Но как задисейблить или ограничить права у дефолтной - что-то я не понял

Да, там в доке говориться, что можно по паролю сделать, можно rbac, и так далее

/report

Тут 100 в час все зарабатывают.

?

Ну я нашел фикс , который превращает вот обычного юзера в сервис, но все равно это бред ) Чи версия дашбоарда какая та не так

Ибо буквально недавно устанавливал только не по зеркалу

А эта ссылка по зеркалу ибо основная не работает чет

Завтра буду думать кароче )

Такой вопрос: а есть ли какой-нибудь способ восстановить системные clusterrolebinding, которые были удалены? clusterrolebinding "system:basic-user" clusterrolebinding "system:controller:cronjob-controller и т.п.

быстренько развернуть кластер на одной ноде через kubeadm и скопипастить из него, не?

уже так и сделал )

clusterrolebinding как оказалось не зависят от namespace-ов, поэтому delete —all было не очень хорошей идеей почистить лишнее ))

всем привет, почему VBoxHeadless на маке страшно жрет проц?

когда запускаю minikube

всем привет, почему VBoxHeadless на маке страшно жрет проц?

года 3 назад решением было `$enable_serial_logging = false`

года 3 назад решением было `$enable_serial_logging = false`

а не подскажите как установить такую настройку в миникубе?

а не подскажите как установить такую настройку в миникубе?

настрйока вагранта это

у меня не вагрант

просто вбокс?

просто вбокс?

kubectl, minikube и VirtualBox драйвер

Ребят , а что по бэкапу кубера посоветуете - в плане самого кубернетиса

как там лучше всего с etcd бэкапить

Ребят , а что по бэкапу кубера посоветуете - в плане самого кубернетиса

https://github.com/heptio/ark/blob/master/README.md

спасибо

Ребят , а что по бэкапу кубера посоветуете - в плане самого кубернетиса

Снапшот делать.

А был у кого нибудь кейс восстановления из бэкапа?

https://github.com/heptio/ark/blob/master/README.md

Они exec в поды делают, совсем не айс

А был у кого нибудь кейс восстановления из бэкапа?

А что восстанавливать нужно?

Как себе представляют процесс воссановления из бэкапа етцд при живом кубере, интересно

Если все ресурсы и так в Git, а приложения stateless - останутся только сертификаты ИМХО

А секреты? Их в Гите не хранят

У кубера единственное что стэйтфулл это етцд. Бэкапьие его, а остальное фигня, которая лечится реинсталлом кластера

И чо ты с этим бэкапом делать будешь?

Мб он хотел сказать резервировать

И чо ты с этим бэкапом делать будешь?

А в чем проблема с восстановлением etcd из бэкапа?

А что будет делать кубер с этим?

Ну, восстановил данные в etcd и кубер с ними работает, не?)

Ну, восстановил данные в etcd и кубер с ними работает, не?)

Ну да) почему это очевидно не всем? Вот в чем вопрос)

У меня при обновлении в свое время на 1.6 и etcd v3 всё развалилось наглухо. И я в итоге пересоздал все ресурсы кластера минут за 20. Но у меня был бэкап секретов с let's encrypt сертификатами. Мораль: адептам gitops так быстрее, чем разбираться с etcd:)

Ну, восстановил данные в etcd и кубер с ними работает, не?)

восстанавливать в голый кубер будешь или с уже запущеными подами?

ноды подключаться к мастерам будут до восстановления или после?

многие знания приводят к многим печалям :(

Реинсталл соберёт кластер, а бэкап вернёт все ресурсы кубернетиса

Поды, секреты, сервисы ...

Ничего никуда руками добавлять не нужно))

Ну если у вас ВСЕ ресурсы в манифестах, то раскатать их заново конечно гораздо проще

Товарищи, есть какойнить LoadBalancer если иcпользуется bare-metal

metallb наверное

metallb наверное

Спасибо, хотя кажется я не в ту сторону думаю, ingress может использоватся для чистого tcp трафика?

Это же в доке можно глянуть ?

да чет туплю, думал ингрес только http, есть ingress на haproxy что скорее всего удовлетворит мои потребности

Поды, секреты, сервисы ...

ноды...

oh wai~

ноды...

Ответ был дан выше

по-твоему конфигурация нод где хранится?

что произойдёт с твоим кластером если ты после инсталляции зальёшь в етцд данные от старого кластера?