@Samarthhr It not a RH channel

Ya sorry , I needed some information asap ,I dint get in any RH groups also ?

@Samarthhr So, try googling this question. Are from India?

Yep I tried but did not get much information, yes sorry for disturbing with other topic :)

@Samarthhr wait a moment

@Samarthhr https://learn.openshift.com/introduction/getting-started/

Thanks a lot for sharing ?

человек по русски то не понимает =)

Именно поэтому спрашивает в чяте, название которого не может прочитать?

буквы знакомые

hi all! есть вопрос смежный с gitlab. установил gitlab-omnibus на kubernetes, kubernetes, сетка - flannel? на локальном хосте. ни один проект толком не могу собрать - зависает все на этапе билда, когда, например, проходит закачка файлов у npm либо когда apt-get устанавливает пакеты. проблема примерно описана вот тут - https://gitlab.com/gitlab-org/gitlab-runner/issues/3161 . Пробовал менять mtu , тыкал все, что мог в firewall - ничего не выходит. gitlab-runner имеет executor = kubernetes . Мб, кто-то сталкивался с похожими поблемами?

при этом, если захожу в контейнеры - DNS ресолвит, wget файлы качает, пинг есть.

Привет ребят, на одном мастере пару раз ребутились поды , заглянул в логи одного: kube-system kube-controller-manager-kube-master01

k8s.io/kubernetes/vendor/k8s.io/client-go/informers/factory.go:130: watch of *v1beta1.Event ended with: The resourceVersion for the provided watch is too old.

иакже, если собираю просто через docker - все нормально собирается.

k8s.io/kubernetes/vendor/k8s.io/client-go/informers/factory.go:130: watch of *v1beta1.Event ended with: The resourceVersion for the provided watch is too old.

Ну найди что обновляли

я не чего не обновлял

рядом так же ругаетчся kube-apiserver-kube-master01

http: TLS handshake error from [::1]:50134: tls: first record does not look like a TLS handshake

Ну найди что обновляли

так говорите как будто я с пол слова пойму

было у меня подобное, срок действия ключа составляет 1 день вроде, то есть чтобы снова подключиться к мастеру, надо заново инициализировать ключ

было у меня подобное, срок действия ключа составляет 1 день вроде, то есть чтобы снова подключиться к мастеру, надо заново инициализировать ключ

это как то решается ?

думаю да, допустим срок действия сертификата больше 1 дня, год, 10 лет Но это было на моём тестовом стенде для "поиграться", поэтому не вникал

советуют пересоздать токен

https://stackoverflow.com/questions/47126779/join-cluster-after-init-token-expired?rq=1

кажется у нас разные проблемы

вообще разные

в общем

--ttl 0

ну я так понял что у тебя нода выпала

правильно ?

нет ) в том и прикол )

она просто в логи сыпет вот это

не ребуталась

я ее тоже не ребутил

нода и мастер на одном хастер

хм

хосте

в том и прикол )

что еще и фланель ругался

но на ноде

ребята подойдут, подскажут

а не он просто добавлял правила

аптайм 2 дня 17 часов ) в том и прикол

что случилось)

причем хендшейк ругается почему то на ipv6

Господа , бестпрактикс подключения из пода к внешней DB postgres по IP:PORT - это объявдление сервиса и ендпоинтов к нему?? или есть другой путь? ввиду того что ендпоинт возможно (но не факт) может поменяться когда нибудь (там еще не смогли в HA postgres)

Господа , бестпрактикс подключения из пода к внешней DB postgres по IP:PORT - это объявдление сервиса и ендпоинтов к нему?? или есть другой путь? ввиду того что ендпоинт возможно (но не факт) может поменяться когда нибудь (там еще не смогли в HA postgres)

1. HA Postgres -> Stolon 2. К внешней через ендпоинты, или по IP напрямую, если ip доступен на хосте, так как в поде доступны адреса хоста

https://github.com/helm/charts/tree/master/stable/fluentd-elasticsearch Недавно из инкубатора в stable перешёл. Работает из коробки

пока filebeat'ом обошелся. Посмотрим, может позже и до флуента дойду

@anti_on спасибо, пошел через ендпоинты

ребят подскажите а можно ли configmap загрузить как переменные, вот если в нем грубо говоря 50 переменных как их можно все загрузить а приложение уже само найдем в среде

нет

мы делали как-то через envdir

либо перечисляй либо подменяй инит с сорсом файла

Монтируем конфигмап, потом натравливаем энвдир https://cr.yp.to/daemontools/envdir.html

читал что есть в K8s возможность запроса новых инстансов воркеров... т.к. у самого на бареметал, у заказчика VMWare (пока незнаю что там у них есть) Вкусно то, что можно дергать провизионер VMWare для PVC, но вот еще бы знать что необходимо для получения новых воркеров - и возможно ли такое впринципе??

Кто как реализовывал Dynamic Provisioning?

Приветствую! А есть ли возможность делать nodeselector для всего неймспейса?

Приветствую! А есть ли возможность делать nodeselector для всего неймспейса?

весь неймспейс на одну ноду?))

весь неймспейс на одну ноду?))

да, неймспейсу можно только на cl3 не хочется везде в деплойментах это указывать

Приветствую! А есть ли возможность делать nodeselector для всего неймспейса?

в кубернетесе - нет, в опеншифтовских проектах - да

Всем привет. Есть вопрос по выбору CNI Пока что используем kubenet в AWS, т.е дефолтную настройку с ограничением в 50 нод В данный момент не уверен, что у нас в принципе будет >50 нод, но всякое может случиться Вопрос[ы]: - имеет ли смысл сразу запариваться выбором/конфигурацией CNI? - если да, что посоветуете (нам особо нетворк фич не надо и приложения не супер-чувствительны к латенси). Говорят, Calico сейчас норм вариант - насколько сложнее будет менять CNI с уже живым кластером? Спасибо!

Приветствую! А есть ли возможность делать nodeselector для всего неймспейса?

Напишите свой mutating admission plugin, можно даже через вебхуки

/report

Коллеги, знаю, что тут есть те, кто дружит с Openshift. Такой вопрос. В кубе у нас крутится prometheus, которые общается с помощью подписанного сертификата с api шкой. Мы создавали такой ресурс: apiVersion: certificates.k8s.io/v1beta1 kind: CertificateSigningRequest И апрувили его командой: kubectl certificate approve На сколько я вижу, в openshift нет ничего подобного?

Коллеги, знаю, что тут есть те, кто дружит с Openshift. Такой вопрос. В кубе у нас крутится prometheus, которые общается с помощью подписанного сертификата с api шкой. Мы создавали такой ресурс: apiVersion: certificates.k8s.io/v1beta1 kind: CertificateSigningRequest И апрувили его командой: kubectl certificate approve На сколько я вижу, в openshift нет ничего подобного?

в опеншифте перед ним стоит oauth proxy, которая юзает аутентификацию из аписервера

потому csr и отдельный сертификат ему не нужны

Через openebs, но не прод

а вы iscsi вольюмы сами нарезаете? или pvc умеет ?

ребят подскажите а можно ли configmap загрузить как переменные, вот если в нем грубо говоря 50 переменных как их можно все загрузить а приложение уже само найдем в среде

через envFrom https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/#configure-all-key-value-pairs-in-a-configmap-as-container-environment-variables

через envFrom https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/#configure-all-key-value-pairs-in-a-configmap-as-container-environment-variables

супер))) то что надо

о, ништяк

чота я думал что нельзя

отлично что я ошибался :)

парни, подскажите как nginx ингресс наружу вытащить, чтобы клиентские ip адреса сохранялись. service подменяет их на локальные. даже с параметром "externalTrafficPolicy":"Local"

proxy_set_header X-Real-IP $the_real_ip; proxy_set_header X-Forwarded-For $the_real_ip; по-умолчанию стоит

Обычно web фреймворки сами такое ловят.

это уже в самом ингресс контроллере. но ему на вход приходит трафик не напрямую снаружи

это уже в самом ингресс контроллере. но ему на вход приходит трафик не напрямую снаружи

ну а в хедерах этих запросов приходят какие-нибудь данные об источнике?

это уже в самом ингресс контроллере. но ему на вход приходит трафик не напрямую снаружи

поднимайте его с hostNetwork: true

externalTrafficPolicy: Cluster

ну а в хедерах этих запросов приходят какие-нибудь данные об источнике?

вроде нет. сейчас трафик от kube-proxy приходит. ему вобще пофиг. он tcp трафиком рулит как я понимаю

поднимайте его с hostNetwork: true

хм. это законно?

У меня так поднят. Что плохого?

у вас вообще какой деплоймент? как трафик внутрь попадает, через LB? LB чей?

externalTrafficPolicy: Cluster

из доки: Cluster” obscures the client source IP

бареметал. никаких балансеров нету

покопаю в сторону хостнетворк

спасибо

я ставил ingress через helm, себе меньше доверяю чем helm. С hostNetwork: true baremetal