kubectl get nodes все READY?

@DACTAH все в Ready, на них работают поды, аппы итд итр. Имею ввиду по функционалу никаких нареканий

unknown node "k8s-worker01" вот это сообщение намекает якобы нет связи, либо днс упал поэтому лучше перепроверить

cannot get secret kube-system/kube-dns-token-wv9sh cannot get configmap kube-system/kube-dns плюс двух случаях kube-dns не доступен

cannot get secret kube-system/kube-dns-token-wv9sh cannot get configmap kube-system/kube-dns плюс двух случаях kube-dns не доступен

Так в том то и дело, что работает. /app # nslookup hrsm-web-service.hrsm.svc.cluster.local 10.233.0.3 Server:    10.233.0.3 Address 1: 10.233.0.3 kube-dns.kube-system.svc.cluster.local Name:      hrsm-web-service.hrsm.svc.cluster.local Address 1: 10.233.31.169 hrsm-web-service.hrsm.svc.cluster.local​

unknown node "k8s-worker01" вот это сообщение намекает якобы нет связи, либо днс упал поэтому лучше перепроверить

Если бы что то не работало или отвалилось, то логично было бы ожидать другое severity лога

https://github.com/kubernetes-incubator/kubespray/issues/1856 здесь говорят что проблема с сертификатами или сервис аккаунтами

https://github.com/kubernetes-incubator/kubespray/issues/1856#issuecomment-339855628 похожая проблема

#whois ▫️Какой у вас проект или где работаете? инфраструктура для EMM Enterprise Mobile Management ▫️В чём вы специалист? На стадии переквалификации ▫️Чем можете быть интересны или полезны сообществу? доступом к французскому сектору ▫️Чем интересно сообщество вам? опытом, помощью, новостями. ▫️Откуда вы? Ница/Монако ▫️Как узнали про группу? Yandex

У aws сразу предлагают кластер за $200+ ha, не нашел как сделать тестовый подешевле

Это что за такой кластер?

Приветствую! А кто-нибудь сертифицировался по PCI DSS? Не могу понять как разделить сеть на CDE и DMZ с использованием VLAN...

В прошлом году успешно прошли аудит как оператор карточных данных, без хранения. Раз вланы, значит где-то есть роутер, которые все это дело маршрутизирует. Значит он же и как брандмауэр выступает между сегментами. Описываете имеющиеся правила и обосновываете ради какой бизнес-необходимости каждое из них существует. Ну и не забываете поддерживать в актуальном состоянии для будущих аудитов.

В прошлом году успешно прошли аудит как оператор карточных данных, без хранения. Раз вланы, значит где-то есть роутер, которые все это дело маршрутизирует. Значит он же и как брандмауэр выступает между сегментами. Описываете имеющиеся правила и обосновываете ради какой бизнес-необходимости каждое из них существует. Ну и не забываете поддерживать в актуальном состоянии для будущих аудитов.

В прошлом году успешно прошли сертификацию PCI DSS, но инфраструктура состояла только из виртуальных машин + VLAN. Сейчас решили поставить поверх виртуальных машин Kubernetes для сервисов, но как правильно натянуть VLAN (и надо ли вообще?) - не совсем понятно... Думаем возможно достаточно обеспечить разделение доступа подов посредством политик... Сейчас VLANы соединяет виртуалка, но когда она в обслуживании, то разрыв коннекта...

Я может испорчен Явой/скалой. Или тем как у нас пишут ) приложение стартует, проводит миграции, продолжает старт (начинает слушать порты, откликаться на чеки и проч). Сами миграции: смотрим список миграций которые хотим, смотрим какие миграции применены в базе, если нечего делать больше, просто завершается. Вс проверка это прочитать список файлов и один селект из таблицы migrations

все работает круто, пока не попадается какая-нибудь дистрибутед база, например кассандра. В которой пару подов попытаются одновременно при старте создать\накатить схему и кейспейс уходит в разнос.

В прошлом году успешно прошли сертификацию PCI DSS, но инфраструктура состояла только из виртуальных машин + VLAN. Сейчас решили поставить поверх виртуальных машин Kubernetes для сервисов, но как правильно натянуть VLAN (и надо ли вообще?) - не совсем понятно... Думаем возможно достаточно обеспечить разделение доступа подов посредством политик... Сейчас VLANы соединяет виртуалка, но когда она в обслуживании, то разрыв коннекта...

Ну тогда раз вы прошли аудит, то не хуже меня понимаете, что для аудиторов важен сам факт разделения. Так что вполне можно обойтись политиками - при процессе аудита просто покажете при помощи `kubectl exec... `аудитору что трафик между подами не ходит, и всё.

слушайте, а че можно как-то кластер заставить удалять эвиктнутые поды самому?

а то я уже близок к тому чтобы на крон повесить баш дропать их

слушайте, а че можно как-то кластер заставить удалять эвиктнутые поды самому?

что именно удалять за выселенными подами? образы?

что именно удалять за выселенными подами? образы?

сами поды же

у меня сейчас их около 20, и они просто висят в ошибке

я че делаю, грепаю вывод kubectl где статус Evicted и удаляю каждый

слушайте, а че можно как-то кластер заставить удалять эвиктнутые поды самому?

terminationGracePeriodSeconds

Товарищи, подскажите по Helm. TILLER_HISTORY_MAX за что отвечает? Я раньше думал что она соответсвует значению REVISION при выводе команды "helm list". Я путаю 2 понятия?

terminationGracePeriodSeconds

о, ништяк, спасибо

Просто Helm создает тутчу конфигмапов с иториями версий. Жутко не удобно, да и этот функционал не нужен от него. Думал что с помощью этого можно ограничить у него создание этих конфигмапов

terminationGracePeriodSeconds

судя по доке это должно работать только для Terminating, а у меня они evicted

судя по доке это должно работать только для Terminating, а у меня они evicted

https://kubernetes.io/docs/tasks/administer-cluster/out-of-resource/#soft-eviction-thresholds

https://kubernetes.io/docs/tasks/administer-cluster/out-of-resource/#soft-eviction-thresholds

двойное спасибо, пойду покурю ман

привет всем. подскажите как перенестить поду стейтфулсета на другую ноду куба?

NodeSelector?

а если в стейтфулсете реплика 3?

а если в стейтфулсете реплика 3?

Опиши задачу полностью. Что хочешь сделать?

Народ, подскажите вызываю редактирование kubernetes-dashboard на мастере kubectl -n kube-system edit service kubernetes-dashboard что мне нужно прописать , чтобы web UI было доступно с удаленных компов? NodePort? пните в нужное русло

по хорошему - ingress включить

по хорошему - ingress включить

ингресс не ставил пока, хотел пока в обход его

Опиши задачу полностью. Что хочешь сделать?

есть стейтфулсет сервиса apache nifi с репликой 3. одна нода куба постоянно вылетает, там где лидирующая нода этого nifi. когда перезапускаю эту поду, то он запускается на той же ноде. а мне нужно перенести на другую ноду

ингресс не ставил пока, хотел пока в обход его

самое простое тогда, у себя на локалхосте делать port-forward

есть стейтфулсет сервиса apache nifi с репликой 3. одна нода куба постоянно вылетает, там где лидирующая нода этого nifi. когда перезапускаю эту поду, то он запускается на той же ноде. а мне нужно перенести на другую ноду

попробуй kubectl drain $NODE Шуделлер перепланирует поды с этой ноды на другие

или nodePort , но тогда будут порты из серии 32035

есть стейтфулсет сервиса apache nifi с репликой 3. одна нода куба постоянно вылетает, там где лидирующая нода этого nifi. когда перезапускаю эту поду, то он запускается на той же ноде. а мне нужно перенести на другую ноду

Или как выше сказали node selector. Помоему так даже будет правильней

на этой ноде есть другие поды

на этой ноде есть другие поды

Тогда node selector

Понял, спасибо

Привет, для чего kubespray по умолчанию запрещает докеру работать с iptables? docker_iptables_enabled: "false"

А может кто подсказать - у local persistent volume обязательно размер указывать или можно так же как в докере - создай мне volume, а о свободном месте я позабочусь сам ?

Привет, для чего kubespray по умолчанию запрещает докеру работать с iptables? docker_iptables_enabled: "false"

не знаю, но добавлю, что если этого не сделать: правила внесенные с помощью, например: UFW - контейнерами полностью игнорируются.

А может кто подсказать - у local persistent volume обязательно размер указывать или можно так же как в докере - создай мне volume, а о свободном месте я позабочусь сам ?

Я точно не помню, но помоему у меня как как то упиралось в притык и был конец

я из-за этого столкнулся с проблемой, что для вручную запущенного docker-compose на машине в кластере нельзя задать изоляцию сети: контейнеры легко ходят по сети кубера, игнорируя опции в compose.yml. К примеру это легко может дропнуть базу, так как домен postgres резолвится в кубер вместо локального postgres из компоуза.

Чот, либо я хочу странного, либо я выбрал неверный инструмент. Я хочу, чтобы на 3х нодах у меня всегда было 2 экземпляра сервиса, которые бы хранили данные на локальной ФС. И чтобы селекторами управлять - на какой ноде запускать эти сервисы. Миграции сервисов не планируется.

Сейчас читаю доки - тип PV hostpath мне не подходит: HostPath (Single node testing only – local storage is not supported in any way and WILL NOT WORK in a multi-node cluster)

Сейчас читаю доки - тип PV hostpath мне не подходит: HostPath (Single node testing only – local storage is not supported in any way and WILL NOT WORK in a multi-node cluster)

local-storage есть в 10+

Он тоже не работает на multi-node, нужно крепить поды к нодам, но он позже позволяет без усилий переехать на нормальный fs

А, или крепить не нужно, если под уже привязался к pv?

То есть я на двух нодах создаю два local-storage (LS-A и LS-B) Теперь, чтобы мне нужны 2 экземпляра ноды на разных серверах Получается - нужно 2 отдельных сервиса делать: svc-A и svc-B, для которых эти local-storage и указывать ?

То есть я на двух нодах создаю два local-storage (LS-A и LS-B) Теперь, чтобы мне нужны 2 экземпляра ноды на разных серверах Получается - нужно 2 отдельных сервиса делать: svc-A и svc-B, для которых эти local-storage и указывать ?

daemonset сделать

service это балансер для подов, идет отдельно.

Да, поды, верно.

Ладно, скорее всего проще будет попробовать https://kubernetes.io/blog/2018/04/13/local-persistent-volumes-beta/

ребята, подскажите, если я хочу задеплоить хелм чарт, у которого image repository будет разным в зависимости от ветки git, как мне это сделать?

ребята, подскажите, если я хочу задеплоить хелм чарт, у которого image repository будет разным в зависимости от ветки git, как мне это сделать?

через --set image or --set tag

через --set image or --set tag

helm install —set image?

спасибо, попробую

пока что в values.yaml сделал url repository короче, а в deployment.yaml дополнил {{ .Release.Namespace }}

Не могу понять это баг или фича?

Товарищи, подскажите по Helm. TILLER_HISTORY_MAX за что отвечает? Я раньше думал что она соответсвует значению REVISION при выводе команды "helm list". Я путаю 2 понятия?

Просто Helm создает тутчу конфигмапов с иториями версий. Жутко не удобно, да и этот функционал не нужен от него. Думал что с помощью этого можно ограничить у него создание этих конфигмапов

фича же

тиллер же не хранит в себе содержимое конфигмапа

он хранит только values

тиллер же не хранит в себе содержимое конфигмапа

TILLER_HISTORY_MAX не за это отвечает переменная?

TILLER_HISTORY_MAX не за это отвечает переменная?

по идее да. но тебе надо скорее всего тиллер передеплоить с нуля, чтобы оно применилось

по идее да. но тебе надо скорее всего тиллер передеплоить с нуля, чтобы оно применилось

Я когда тиллер деплоил помоему указывал 5, он их все равно плодит тучу

Но могу ошибатся

а если делать через helm init —history-max=5 ?

а если делать через helm init —history-max=5 ?

Да так его и ставил

Щас гляну как было

а если делать через helm init —history-max=5 ?

helm init --service-account tiller --history-max 10

по идее да. но тебе надо скорее всего тиллер передеплоить с нуля, чтобы оно применилось

Щас передеплоил. Заработало

Привет, для чего kubespray по умолчанию запрещает докеру работать с iptables? docker_iptables_enabled: "false"

И правильно делает, по умолчанию docker плодит много iptables-правил, которые в принципе не нужны, т.к. у куба своя сеть. А если их не отключить они могут привести к непредсказуемым последствиям непринужденно влияя на работу некоторых оверлейных сетей.

Добрый день, Кто нибудь ставил Kubernetes через sudo snap install conjure-up --classic Сколько по времени он может ставиться. У меня уже висит более 2-х часов, linux живой ничего не зависло. Сколько он так может висеть?

Добрый день, Кто нибудь ставил Kubernetes через sudo snap install conjure-up --classic Сколько по времени он может ставиться. У меня уже висит более 2-х часов, linux живой ничего не зависло. Сколько он так может висеть?

Установи через кубспрей и не заморачивайся, еще и до 1.12 несколько часов назад обновили)

Установи через кубспрей и не заморачивайся, еще и до 1.12 несколько часов назад обновили)

Для него нужен Ansible?

Для него нужен Ansible?

Да

Да

Если кластер будет состоять из одного сервера, он нормально встанет?

Да, но если 1 сервер то проще через kubeadmin

minikube - как раз кластер из одного сервера, по-моему...

или minikube)

Если кластер будет состоять из одного сервера, он нормально встанет?

по-моему он так умеет, но это не очень хорошо

в minikube по моему нет ingress

его вообще нет нигде, кроме готового облака от гуглей с амазонами

его вообще нет нигде, кроме готового облака от гуглей с амазонами

:O

В смысле, отдельно добавляется

а как же тогда у всех работает?

ингресс - это социальный конструкт

А хз, что у вас за облако. Лично я - ставил ingress-nginx отдельно на baremetal

А хз, что у вас за облако. Лично я - ставил ingress-nginx отдельно на baremetal

+

в minikube по моему нет ingress

а какая разница, он ставится как отдельный сервис