это я конечно попробую как руки дойдут, но сходу оно даже не гуглится, только issues на github. kubernetes image digest

тут есть https://kubernetes.io/docs/concepts/configuration/overview/#container-images

а по клстеризации эластика стоит загоняться? вроде как говорят что надо

тут есть https://kubernetes.io/docs/concepts/configuration/overview/#container-images

сказано, но я сходу не понял как писать image: sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2 ? Пока просто не разбирался, времени нет, понятно, что разберусь, можно не отвечатью

а по клстеризации эластика стоит загоняться? вроде как говорят что надо

У меня нет ресурсов для кластеризации эластика, да и логи нужны для для отладки микросервисов в k8s разработчикам.

сказано, но я сходу не понял как писать image: sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2 ? Пока просто не разбирался, времени нет, понятно, что разберусь, можно не отвечатью

ubuntu@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2

ubuntu@sha256:45b23dee08af5e43a7fea6c4cf9c25ccf269ee113168c19722f87876677c5cb2

ок, спасибо, ещё проще чем думал

если забудешь, в этой же доке есть ссылка на докеровскую документацию, как это делать

не забуду, просто нигде такого не видел и закрадывается сомнения, что там куча граблей.

я постоянно такие вещи забываю, приходится доки по сто раз читать

это я конечно попробую как руки дойдут, но сходу оно даже не гуглится, только issues на github. kubernetes image digest

Что там гуглить ) любой имаж тэг на самом деле просто указатель на sha256 , смотрите в docker inspect

Можно запомнить теорему, а можно уметь ее выводить :)

а это проблема?

Это проблема с безопасностью, надо тщательнее следить кто может в докер реп пушить, т.к. они могут тэг который сейчас в проде перезаписать малварью )

Это проблема с безопасностью, надо тщательнее следить кто может в докер реп пушить, т.к. они могут тэг который сейчас в проде перезаписать малварью )

можно прям в source code тогда записать. Следит gitlab

можно прям в source code тогда записать. Следит gitlab

Гитлаб не умеет "защищать" теги. Если у вас скажем деплой в прод из защищённых веток, куда скажем только через мерж реквесты и после 3 аппрувов, то любой Джуниор с правом коммита может запушить свою дев ветку, в которой в изменённом gitlab-ci.yml запушить тэг который сейчас в проде

гитлаб умеет защищать файл .gitlab-ci.yml

но не в бесплатном CE

Гитлаб не умеет "защищать" теги. Если у вас скажем деплой в прод из защищённых веток, куда скажем только через мерж реквесты и после 3 аппрувов, то любой Джуниор с правом коммита может запушить свою дев ветку, в которой в изменённом gitlab-ci.yml запушить тэг который сейчас в проде

я прекрасно знаю проблему. 100% раз тут обсуждалось

гитлаб умеет защищать файл .gitlab-ci.yml

Как?

купи EE :D

Поэтому у меня отдельная репа для images

сейчас там решение через protected runners есть

А вообще я рад, что работаю в командах до 10 человек и это просто не нужно. А то страшно представить лютый треш.

сейчас там решение через protected runners есть

Это не решение. Решение деплоить образы по sha256 или отдельная репа. Мне кажется образы по sha256 удобнее и вашу проблему с изменениями в ридми решают тоже

Да мы спорим просто так. За решение спасибо, теперь даже в доках копаться не нужно.

сейчас там решение через protected runners есть

Как они помогают? Пушить в регистри может любая джоба из пооекта

для прод image отдельный registry, в который ходит только protected runner

купи EE :D

У меня ЕЕ и хочется защиты gitlab-ci.yml

Я readme поменял, он перезапускает deployment. Там docker build мгновенно проходит, потому что кэш, но tag меняется и deployment отрабатывает. Думаю потом сделать проверку, что docker image отличается хоть чем-то кроме tag

Для этого есть [ci skip] И readme в .dockerignore

Для этого есть [ci skip] И readme в .dockerignore

Зачем опираться на поведение людей в вопросах где у машины есть вся информация на руках

Для этого есть [ci skip] И readme в .dockerignore

да блин, новый круг

Зачем опираться на поведение людей в вопросах где у машины есть вся информация на руках

+

docker build лучше знает, что поменялось без помощи.

У меня ЕЕ и хочется защиты gitlab-ci.yml

хм, помню что была фича, а щас могу найти только открытый фич-реквест

хм, помню что была фича, а щас могу найти только открытый фич-реквест

там есть патч от комьюнити под это на CE

ребят не подскажите а на GKE, для интгреса можно както либо выключить healthcheck либо его поменять сразу в .yaml ?

поменять

либо используй nginx-ingress

а подскажите хороший чарт для ELK

а подскажите хороший чарт для ELK

https://t.me/elasticsearch_ru

это чят, а не чарт :)

?

а подскажите хороший чарт для ELK

в 2018 я бы взял эластик-оператора

а подскажите хороший чарт для ELK

использую incubator/elasticsearch но так и не научился его деплоить в single mode

в 2018 я бы взял эластик-оператора

почему? кажется операторы только больше неизвестных вносят

а "взять готовый чарт" не вносит?

возьми да напиши чарт)

а "взять готовый чарт" не вносит?

с ним ты как бы ставишь именно то ПО, которое нужно. а не какой то инструмент для управления нужным ПО. я пытался понять смысл этих операторов, но не осилил чет

возьми да напиши чарт)

со временем желания писать велосипеды проходит

со временем желания писать велосипеды проходит

вопрос не в велике а в том что если его совсем нет то других вариантов нет

но выше уже дали куда смотреть

спасибо в любом случае)

Всем привет! Подскажите через nginx-ingress можно вывести ftp ?

У меня сервис есть, который используется как ftp

разве что через стрим

Котоны, юзал кто cilium? Есть трабла, с ipv6, на нодах рабоатет нормально а внутри подов трафик не выходит наружу, и это только с ipv6. Было ли у кого такое?

Котоны, юзал кто cilium? Есть трабла, с ipv6, на нодах рабоатет нормально а внутри подов трафик не выходит наружу, и это только с ipv6. Было ли у кого такое?

Пните куда можно глянуть

У меня сервис есть, который используется как ftp

Разве за фтп не дают ещё статью?

Разве за фтп не дают ещё статью?

А что должны? Имеется в виду передача данных через решето?

nginx, помнится, не умел фтп

А что должны? Имеется в виду передача данных через решето?

Ну не шифрованный это одно, а я про - зачем фтп в контейнерах?

nginx, помнится, не умел фтп

через tcp вполне может

там 2 соединения, причём одно из которых может быть не через прокси

Или через прокси, но хз через какой порт.

тогда видимо нет :)

Вобщем, там простого tcp недостаточно, надо уметь подсматривать порты и направления второго соединения.

проще сразу с hostnetwork запустить

Проще выпилить ftp нахрен, по-моему...

я плохо представляю где он понадобится может вдруг

Если сильно надо файлы таскать - вебдав в помощь.

Ну или сразу sftp

#проклято

У меня сервис есть, который используется как ftp

замени его на minio

приятный web ui + s3 клиенты не особо отличаются от ftp (ui/cli)

Есть маленькое но: нельзя сделать N разных доступов к одному и тому же каталогу.

В остальном - действительно приятная вещь.

замени его на minio

Я уже как года 3 этот ftp стороной обхожу. А тут вот не ожидал такого поворота. Это не моя свистопляска) Будем думать. спасибо

@denissaaa сделай те новый ingress на haproxy и проксируйте спокойно ftp

legacy он такой, очень вас понимаю

ingress на nginx тоже умеет tcp

ingress на nginx тоже умеет tcp

уметь tcp и уметь ftp - сильно разные вещи...

@j3qq4_h7h2v_2hch4_m3hk8_6m8vw ftp в пассивном режиме обычный клиент-сервер

эээээм. ftp поверх tcp идет

@alexesDev имеется в виду, что ftp может хотеть коннектится к клиенту сам

Ну или, клиент может хотеть коннектиться хз куда из диапазона портов

"В активном режиме, когда клиент говорит «Привет!» он так же сообщает серверу номер порта (из динамического диапазона 1024-65535) для того, чтобы сервер мог подключиться к клиенту для установки соединения для передачи данных. FTP-сервер подключается к заданному номеру порта клиента используя со своей стороны номер TCP-порта 20 для передачи данных."

Угу. Кто сказал, что исходящий ип будет соответствовать ип-адресу прокси?

еще раз, в пассивном режиме этого нет

А в пассивном есть другое - диапазон портов, на котором отдельно требуется слушать для конкрентного клиента

в пассивном режиме муть будет с адресами изза того что ftp внутри будет сообщать свой внутренний адрес для подключения. ну тоесть нужно будет объяснять фтп что он за шлюзом для клиентов

@j3qq4_h7h2v_2hch4_m3hk8_6m8vw ftp в пассивном режиме обычный клиент-сервер

>@j3qq4_h7h2v_2hch4_m3hk8_6m8vw Господи, никнейм прерасен (8

Нуачо? :-)

эт uuid?

эт uuid?

Хехе)

нет

Ващет можно загуглить)

ключ для winxp?

когда-то ввёл это не одну сотню раз...

http://www.j3qq4-h7h2v-2hch4-m3hk8-6m8vw.com/