если у вас амазон то вы можете ваще кластер кубера поднимать-убивать

у нас ажур и это долго(

Если есть дырка до апи сервера, то все решаемо.

разумеется есть

если у вас амазон то вы можете ваще кластер кубера поднимать-убивать

хочется утилизацию текущих повысить

Приветствую! В Kind: Pod при деплое в аннотации указывается политика безопасности restricted annotations: kubernetes.io/psp: restricted Как указать чтобы pod использовал кастомную PodSecurityPolicy ?

Указываю соотвествующий serviceAccountName в Kind: Deployment, но ничего не меняется - не могу понять, Pod Security Policies разве не через RBAC привязывается?

Приветствую! В Kind: Pod при деплое в аннотации указывается политика безопасности restricted annotations: kubernetes.io/psp: restricted Как указать чтобы pod использовал кастомную PodSecurityPolicy ?

Это наоборот хорошо.

Это значит что под ничего такого не просит и ему подошла политика restricted

Тем не менее инит контейнер ругается на то что политикой запрещён запуск команд от рута

ну вот у меня есть интеграционные тесты, им надо запилить, предположим, 10 контнейнеров - сам сервис и его моки

Тест джоба запускается как pod в кубе или как?

Тем не менее инит контейнер ругается на то что политикой запрещён запуск команд от рута

Потому что у вас podSecurity в поде такое ограничение прописано

Вобщем, аннотация это не причина, а следствие :)

Хм, вроде специально ничего такого не прописыал

Можно посмотреть финальный ямл пода, там должно быть

Ок, чуть позже скину

У меня через deployment - его конфиг показать ?

Тест джоба запускается как pod в кубе или как?

да

@SinTeZoiD

У кого-то есть опыт с ранчером? Поделитесь, пожалуйста, интересует и позитивный и негативный

У кого-то есть опыт с ранчером? Поделитесь, пожалуйста, интересует и позитивный и негативный

вот сегодня в ранчере 1.6 делаю внутри стека nslookup и все ок, а потом пытаюсь между двумя стекам сходить и ничего. И куда осмотреть, что гуглить непонятно. С 2.0 у вас будет то же самое, не конкретно с днс, а с чем угодно и будете курить бамбук потому что стековерфлоу курить будет бесполезно.

и у их ux дизайнера трисомия по 21 хромосомной паре

и у их ux дизайнера трисомия по 21 хромосомной паре

люди использующие ранчер чаще других творят дичь вроде ssh в каждом контейнере и тп. Это отдельная ветка развития.

вот сегодня в ранчере 1.6 делаю внутри стека nslookup и все ок, а потом пытаюсь между двумя стекам сходить и ничего. И куда осмотреть, что гуглить непонятно. С 2.0 у вас будет то же самое, не конкретно с днс, а с чем угодно и будете курить бамбук потому что стековерфлоу курить будет бесполезно.

чет не очень понятно как ты ранчер 1 и 2 сравнил

так и сравнил, что если были странные вендорские свистоперделки в первом, которые не работали, то ничего не помешает наткнуться на них во втором, а если там ничего свистоперделачного нету (а там есть хотя бы тот же rke) то нахрен он вообще нужен?

Есть ли смысл подянть свой ДНС сервер, сделать его прокси для куба и уже в том ДНС сервере описывать свои приват домены? Или это можно сделать штатно средствами куба, используя CoreDNS?

true way - это поднять отдельный DNS в authoritative mode специально для вашей зоны.

true way - это поднять отдельный DNS в authoritative mode специально для вашей зоны.

эм...

но по хорошему это должен быть FQDN, типа foo.development.example.org а не foo.development

а когда поды в разных геолокациях, соединять их через vpn?

или кто делает поды в одной позиции?

да

Ну тогда она уже умеет в куб ходить с правами ServiceAccount от которого запущена

а когда поды в разных геолокациях, соединять их через vpn?

я наверное не совсем вопрос понял, а что вы пытаетесь сделать?

это я к фразе свой dns

приватненький для подов, чтоб норм резолвилось, а весь мир об этом не знал

ну на мир вешается только ns запись аля зона dev.example.org спросить у ns-dev.example.org с приватным айпишником

ну... эм... блин

ладно, я просто подумал, что тут есть люди которые заменили правку докер-резолвера на бинд например, но без впн

Можно посмотреть финальный ямл пода, там должно быть

как я понял моя проблема в этом: ... securityContext: 1 fsGroup: 1 supplementalGroup: -1 ... поскольку в статусе ошибка > container has runAsNonRoot and image has non-numeric user (vhost), cannot verify user is non-root

как я понял моя проблема в этом: ... securityContext: 1 fsGroup: 1 supplementalGroup: -1 ... поскольку в статусе ошибка > container has runAsNonRoot and image has non-numeric user (vhost), cannot verify user is non-root

SecurityContext: 1 это какой то ненастоящий ямл

Коллеги, у меня странная ситуация Поднят ingress-nginx даемонсетом через родной хелмовский чарт но при его работе остаётся огромное кол-во соединений в TIME_WAIT поднимаю рядом в докере обычный nginx, делают на него нагрузку - 19к рпс спокойно и TIME_WAIT вообще не создаются а тут на каждое соединение - два TIME_WAIT даже если иду просто на / , а он оттуда на default backend, оба на одной машине поставил даже net.ipv4.tcp_tw_reuse = 1 толку 0 как заставить его убирать за собой?

А я тут fencing к кубу прикрутил, кому интересно присоединяйтесь потестить: https://github.com/kvaps/kube-fencing

А я тут fencing к кубу прикрутил, кому интересно присоединяйтесь потестить: https://github.com/kvaps/kube-fencing

Выглядит разумно. А чего контроллер сам скрипты не запускает?

У всех логика разная может быть заложена, у меня fencing-скрипт вычисляет hostame для ilo шасси и server_id например.

Ну пусть скрипт и останется скриптом, почему он в отдельном поде?

А, идея была сделать fencing-agents полностью заменяемым компонентом

По аналогии с out of tree storage plugins, для fencing могут быть разные провайдеры

А контроллер остаётся контроллером

Приходи в мою ложу вечером

@SinTeZoiD

На канале 1.6к подписоты, всего три поста лайфхаков и прочих прохладных историй. Про k8s не пишут

На канале 1.6к подписоты, всего три поста лайфхаков и прочих прохладных историй. Про k8s не пишут

Чево

Всем привет! Впервые пытаюсь вывести графану через nginx-ingress. Делаю вот так это дело: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: grafana-ingress namespace: kube-system annotations: kubernetes.io/tls-acme: "true" kubernetes.io/ingress.class: "nginx" spec: tls: - hosts: - grafana.test.ru secretName: router-go-tls rules: - host: grafana.test.ru http: paths: - path: / backend: serviceName: monitoring-grafana servicePort: 80 В итоге графана отдает 404 ошибку, так полный url запросы выглядит так: https://grafana.test.ru/api/v1/namespaces/kube-system/services/monitoring-grafana/proxy/login Графана получает этот путь и отдает 404. Может кто сталкивался с этой задачей, и может подсказать как правильно нужно сделать?

Чево

того, зашел на этот канал который рекламят

того, зашел на этот канал который рекламят

Я думал ты про *здесь*

Всем привет! Впервые пытаюсь вывести графану через nginx-ingress. Делаю вот так это дело: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: grafana-ingress namespace: kube-system annotations: kubernetes.io/tls-acme: "true" kubernetes.io/ingress.class: "nginx" spec: tls: - hosts: - grafana.test.ru secretName: router-go-tls rules: - host: grafana.test.ru http: paths: - path: / backend: serviceName: monitoring-grafana servicePort: 80 В итоге графана отдает 404 ошибку, так полный url запросы выглядит так: https://grafana.test.ru/api/v1/namespaces/kube-system/services/monitoring-grafana/proxy/login Графана получает этот путь и отдает 404. Может кто сталкивался с этой задачей, и может подсказать как правильно нужно сделать?

Можно зайти в контейнер с ингрессом. Проверить конфигурацию nginx и доступность URL графаны оттуда же Так же в логах пода игресс можно смотреть дифф при старте графаны ингресса

Можно зайти в контейнер с ингрессом. Проверить конфигурацию nginx и доступность URL графаны оттуда же Так же в логах пода игресс можно смотреть дифф при старте графаны ингресса

Спасибо. Уже тоже смотрю это

коллеги, небольшой опрос... Каким способом вы поднимали у себя k8s? anonymous poll ?️ multimaster через kubespray/kops – 18 ??????? 49% 3) руками через kubeadm – 12 ????? 32% 2) kops – 6 ?? 16% 4) никак, до меня все настроили – 1 ▫️ 3% ? 37 people voted so far.

Алексей добавь пожалуйста в опрос rancher.

я не могу его поправить, могу только пересоздать, но кмк он уже уехал в историю и врядли кому-то уже может быть интересен ))

там и первый пункт с кубспреем тоже выглядит не совсем так как я хотел в итоге

там и первый пункт с кубспреем тоже выглядит не совсем так как я хотел в итоге

может новый опрос сделать?

там и первый пункт с кубспреем тоже выглядит не совсем так как я хотел в итоге

А как ты хотел? Я ставил через pharos - пока работает.

вот сегодня в ранчере 1.6 делаю внутри стека nslookup и все ок, а потом пытаюсь между двумя стекам сходить и ничего. И куда осмотреть, что гуглить непонятно. С 2.0 у вас будет то же самое, не конкретно с днс, а с чем угодно и будете курить бамбук потому что стековерфлоу курить будет бесполезно.

Всем похуй. Мы хотим куб а разбираться не хотим

!спам

может новый опрос сделать?

Зачем?

а зачем старый опрос нужен?

вот именно

Всем похуй. Мы хотим куб а разбираться не хотим

Там вообще волшебная предъява

Что вы добиваетесь опросом? Всё того же "я не хочу думать и читать, подскажите мне самое популярное и простое решение"?)

Насколько правильно использовать кластер кубернетеса из трех нод всего для прода? У меня вариант либо сворм либо кубер вижу

Там вообще волшебная предъява

Да надо FAQ накидать

В гите

Насколько правильно использовать кластер кубернетеса из трех нод всего для прода? У меня вариант либо сворм либо кубер вижу

не очень, один мастер. два воркера?

не очень, один мастер. два воркера?

Предполагал три мастера, они же в роли воркеров

не очень, один мастер. два воркера?

Три мастера три воркера

Три мастера три воркера

На трех хостах. Не на 6)

На трех хостах. Не на 6)

Ну я тебя правильно понял

Предполагал три мастера, они же в роли воркеров

вашы workload'ы могут мешать pod'ам k8s работать

вашы workload'ы могут мешать pod'ам k8s работать

Капасити настроить

зачем вы это мне пишите? пишите Александру

вашы workload'ы могут мешать pod'ам k8s работать

Насколько сильно? Есть какието статистики? Сворм изученное и проверенное решение но нравится все меньше( разводить кубер в котором я относительно новичек , на три ноды почемуто кажется таким себе делом)

смотря какой у вас прод

зачем вы это мне пишите? пишите Александру

Можно на ты

смотря какой у вас прод

Нагрузка небольшая, сервиса 4 на го в докере

Нагрузка небольшая, сервиса 4 на го в докере

а характеристики машин?

три мастера так себе идея, на таких маленьких кластерах проще один мастер с бэкапом etcd и отработанной процедурой восстановления