потом в деплойменте ипользовать этот образ

ага спасибо! буду пробовать

ну и если у вас будет реестр с авторизацией, передать в куб креды

пока попрбую просто, без наворотов

Metallb не зависит от CNI, использую с Cilium

А как быть, если подов больше, чем адресов? По портам возможно пробрасывать?

А как быть, если подов больше, чем адресов? По портам возможно пробрасывать?

Это для сервиса, а не отдельных подов

kubectl get all | grep dashboard

конечно, я так их и грохал

конечно, я так их и грохал

delete --purge

delete --purge

так я выше написал же, из азура пересоздает

а, все понятно, Learn how to use the built-in Kubernetes web UI dashboard with Azure Kubernetes Service (AKS)

туть

У меня есть

без докера https://www.digitalocean.com/community/tutorials/how-to-set-up-a-private-docker-registry-on-ubuntu-14-04 или https://computingforgeeks.com/install-and-configure-docker-registry-on-centos-7/

супер, спасибо еще и в дебиане можно поставить из репы докеровской теперь хоть прояснилось мне относительно этой всей мути вокруг регистри))

подскажите пожалуйста по этой ошибке https://toster.ru/q/568431

подскажите пожалуйста по этой ошибке https://toster.ru/q/568431

Как минимум в современных версиях kubespray по умолчанию неймспейс локального провиженера - kube-system, а не пустой

Как минимум в современных версиях kubespray по умолчанию неймспейс локального провиженера - kube-system, а не пустой

попробовать вот так local_volume_provisioner_namespace: "kube-system" ? хм. попробую

колллеги подскажите пжл. Создал regitry залил образ, выставил тэг. ПРи деплой вылезает Failed to apply default image tag "http://XX.XX.XX.XX:5000/manager-backend": couldn't parse image reference "http://XX.XX.XX.XX:5000/manager-backend": invalid reference format Error: InvalidImageName

попробовать вот так local_volume_provisioner_namespace: "kube-system" ? хм. попробую

У тебя ошибка про то, что namespace не указан, как минимум ее это уберет, дальше другие развлечения

причем docker images показывает XX.XX.XX.XX:5000/manager-backend latest 9560aa86ac6f 8 days ago 500 MB

что я сделал не так

У тебя ошибка про то, что namespace не указан, как минимум ее это уберет, дальше другие развлечения

либо попробовать без local_volume_provisioner_namespace. попробую. спасибо

настроил по этой статье https://computingforgeeks.com/install-and-configure-docker-registry-on-centos-7/

под локальную конфу пойдет

и не взлетает

есдт указать Failed to pull image "XX.XX.XX.XX:5000/manager-backend": rpc error: code = Unknown desc = Get https://XX.XX.XX.XX:5000/v1/_ping: http: server gave HTTP response to HTTPS client

значит берешь куб на бейрметал, сверху кладешь опенстек хелмом, в опенстеке магнумом деплоишь кластера под приложения. Все это должно быть нормально промазано ансиблем и кастомным декларативным метаязыком.

а они любители

через initcontainers можно контролировать переменные окружения?

похоже нет https://stackoverflow.com/questions/50203731/is-it-possible-for-2-containers-inside-a-pod-to-share-the-same-environment-varia

придётся через общий volume передавать

придётся через общий volume передавать

ага https://kubernetes.io/docs/tasks/access-application-cluster/communicate-containers-same-pod-shared-volume/

есдт указать Failed to pull image "XX.XX.XX.XX:5000/manager-backend": rpc error: code = Unknown desc = Get https://XX.XX.XX.XX:5000/v1/_ping: http: server gave HTTP response to HTTPS client

Все ж написано - клиент у тебя, то бишь движок контейнерный, по дефолту https, а сервер твой, то бишь регистри, отвечает по http (видимо потому что не умеет в https). Так что указывай команде pull адрес с протоколом. Но дальше увидишь ошибку о небезопасном регистри. И либо пойдешь https к регистри прикрутишь, либо загуглишь че в конфиг контейнерного движка пихать, чтоб он без https позволял

а как указать?

docker pull http://xx.xx.xx.xx:5000/myapp ?

по-моему docker pull http://blabla:5000/app

и оно должно быть добавлено в качестве insecure registry, если ты хочешь по HTTP это делать

емнип без https не заработает никак. insecure нужен если серт кривой

docker pull http://xx.xx.xx.xx:5000/myapp ?

Ну да, хоть домен хоть ип, но что дальше будет я тебе уже написал

оно уже сделано

insecure registry

Http registry надо прописывать в конфиге докера как insecure registry. Тогда будет работать

емнип без https не заработает никак. insecure нужен если серт кривой

Ну у меня все локально-закрытое и я юзаю insecure. Но да, надо быть уверенным

Приветствую, подскажите ставлю кубернетес через kubeadm и ansible. Нашел такой yml для установки - hosts: all become: yes tasks: - name: install Docker apt: name: docker.io state: present update_cache: true - name: install APT Transport HTTPS apt: name: apt-transport-https state: present - name: add Kubernetes apt-key apt_key: url: https://packages.cloud.google.com/apt/doc/apt-key.gpg state: present - name: add Kubernetes' APT repository apt_repository: repo: deb http://apt.kubernetes.io/ kubernetes-xenial main state: present filename: 'kubernetes' - name: install kubelet apt: name: kubelet state: present update_cache: true - name: install kubeadm apt: name: kubeadm state: present - hosts: master become: yes tasks: - name: install kubectl apt: name: kubectl state: present Но в пакпке /etc/kubernetes только одна папка mainfest. Почему там нет файлов кубернетес?

Я readme поменял, он перезапускает deployment. Там docker build мгновенно проходит, потому что кэш, но tag меняется и deployment отрабатывает. Думаю потом сделать проверку, что docker image отличается хоть чем-то кроме tag

Если правильно настроить .dockerignore и CI джобу то контейнер соберётся такой же как <current branch>:latest и тогда не пушаем новый тег в реджистри соответсвенно нечего деплоить

про init знаю, думал может появились какие-то менее костыльные варианты )

Можно юзать dockerize в энтрипоинте или инит контейнере но имхо каждый апп в хелсчеке своём должен проверять что все обязательные депенденси подняты и если нет то фейлить хелсчек

Я просто стал вместо тегов использовать digest image: nginx@sha256:23e4dacbc60479fa7f23b3b8e18aad41bd8445706d0538b25ba1d575a6e2410b вроде такого

Ну, нам уже пол года пофиг. А вообще безполезное действие

Так детектите в CI что хеш нового образа = хешу latest и не пушайте новый тег

Это может быть нехилой проблемой если приложение стартует минуты (у меня МЛ апп грузит много гигабайтов моделей в память, поэтому). Лучше не передеплаивать лишний раз и даже новый тег не пушать имхо, .dockerignore и сравнение хеша нового собраного образа с latest в CI джобе это решает, моё имхо

docker build -t app:$CI_COMMIT_SHA DIGEST=$(docker inspect --format='{{.Id}}' app:$CI_COMMIT_SHA)

digest не меняется, если image не меняется. digest не зависит от тега.

image: app@sha256:d98169a31d42b6b1cf1c0ad3ad40b74022e3212127a1c5192b9451f53320136f

вот так в deployment.yml попадает

docker build -t app:$CI_COMMIT_SHA DIGEST=$(docker inspect --format='{{.Id}}' app:$CI_COMMIT_SHA)

это не тот digest что вам нужен, его нельзя будет пуллить с другой ноды емнип

это не тот digest что вам нужен, его нельзя будет пуллить с другой ноды емнип

docker pull nginx@sha256:23e4dacbc60479fa7f23b3b8e18aad41bd8445706d0538b25ba1d575a6e2410b

Да, точно, RepoDigests[0] нужен

там еще веселее - если запуллил этот имадж, то id == digest, а если сбилдил на этой ноде - то нет

потому что докеровцы придумали свое особое кэширование

Мой поинт ещё был в том чтобы даже ну пушать новый тег если айди образа равно айди прошлого билда (latest)

а что, господа, кого уже кусала https://blog.quentin-machu.fr/2018/06/24/5-15s-dns-lookups-on-kubernetes/ как побеждали? что-то ни один workaround (и с шейпингом) не помогает

У меня сейчас во всех кластерах с 1.10 такая хрень, руки так и не дошли попробовать на coredns перейти :( У нас свой говновраппер вокруг копса и мне надо прежде чем собственно попробовать прокинуть новый флаг в духе use coredns через кучу абстракций

А есть идеи как можно задетектить, что docker build ничего не сделал без танцев с вытягиванием digest?

а как мейк шур что headless service на primary mongo указывать будет? писать же только в primary даст, или включать все реплики в connection string

Если приложение умное то в коннекшн стринге указать все 3 ноды репликасета и оно само через драйвер разрулит. У меня было тупое и пришлось написать primary discovery контейнер - кусок кода на баше который вешает на примари под лейбл role=primary (ну и соответственно есть сервис с этим лейблом в под селекторе)

А есть идеи как можно задетектить, что docker build ничего не сделал без танцев с вытягиванием digest?

Сравнить хеш нового образа и того что :latest в реджистри

Сравнить хеш нового образа и того что :latest в реджистри

это те самые танцы. И если build сервер один, то лезть в registry тоже 5-10сек

Сравнить хеш нового образа и того что :latest в реджистри

не в latest только же, а какой-то master, по веткам. Иначе будут мешаться друг другу

У меня сейчас во всех кластерах с 1.10 такая хрень, руки так и не дошли попробовать на coredns перейти :( У нас свой говновраппер вокруг копса и мне надо прежде чем собственно попробовать прокинуть новый флаг в духе use coredns через кучу абстракций

Враппер вокруг скриптов. Я нашел новое дно

У меня сейчас во всех кластерах с 1.10 такая хрень, руки так и не дошли попробовать на coredns перейти :( У нас свой говновраппер вокруг копса и мне надо прежде чем собственно попробовать прокинуть новый флаг в духе use coredns через кучу абстракций

Это от версии и от coredns никак не зависит, господин некропостер

Враппер вокруг скриптов. Я нашел новое дно

gitlab autodevops не врапер вокруг скриптов?

gitlab autodevops не врапер вокруг скриптов?

Это просто говна кусок

если еще не было

New Certified Docker Images + Kubernetes Scripts Simplify MariaDB Cloud Deployments https://mariadb.com/resources/blog/new-certified-docker-images-kubernetes-scripts-simplify-mariadb-cloud-deployments

Это просто говна кусок

слишком критично. Думаю паре тысяч людей он упрощает жизнь, т.е. хоть что-то да делает. так-то все Г, даже ASM x86

где то недавно была статья на хабре со смыслом "мы живем и делаем г на основе г"

О, неужели пара здравых мыслей о нашей профессии

где то недавно была статья на хабре со смыслом "мы живем и делаем г на основе г"

я разочаровался в софте? или как-то так

слишком критично. Думаю паре тысяч людей он упрощает жизнь, т.е. хоть что-то да делает. так-то все Г, даже ASM x86

то что оно что-то делает не делает решение не говном)

@BaZZiliO да, купили энтерпрайз поддержку, разумеется. Серьезно топы решили ?

@BaZZiliO да, купили энтерпрайз поддержку, разумеется. Серьезно топы решили ?

ээ, к какому сообщению это ?

@BaZZiliO к скептическому, что "топы так решили". Вы написали, что ничего они не решили, ведь не купили же энтерпрайз поддержку. А на самом деле купили.

Чатик, понимаю, что не совсем то место, но все же, может кто-то порекомендовать книгу по сетям хорошую? Можно на английском, пойдет. Либо скажите где спросить можно.

@BaZZiliO к скептическому, что "топы так решили". Вы написали, что ничего они не решили, ведь не купили же энтерпрайз поддержку. А на самом деле купили.

ссылку бы на сообщение, без контекста тяжело отвечать но я рад за вас.

Чатик, понимаю, что не совсем то место, но все же, может кто-то порекомендовать книгу по сетям хорошую? Можно на английском, пойдет. Либо скажите где спросить можно.

что именно по сетям нужно.

Чатик, понимаю, что не совсем то место, но все же, может кто-то порекомендовать книгу по сетям хорошую? Можно на английском, пойдет. Либо скажите где спросить можно.

Таненбаум и Олифер, но оба ужасно скучные

Возможно CCNA

@BaZZiliO по сетям нужна какая-то фундаментальная книга для изучения сетей. С чего начинают будущие сетевые инженеры? Если Таненбаум пойдет и проблема только в не веселой подаче контента - вполне годится.

Просто хочется выбрать хорошую книгу, прочесть ее, возможно не один раз - профит.

Чатик, понимаю, что не совсем то место, но все же, может кто-то порекомендовать книгу по сетям хорошую? Можно на английском, пойдет. Либо скажите где спросить можно.

Цикл статей "сети для самых маленьких" от linkmeup

@kvaps понял, спасибо. Речь ведь про это: https://habr.com/post/134892/ ?

Да, оно самое

всё просто - что на чет строится flixbus? а это лишь пример,я там не работаю. но это кубер. если я правильно понял мысль. и таких компаний много. это статистика - в европе мы уровне инженеров BMW(в лучшем случае), что справедливо ИМХО. А в USA всё не так )

Фликсбус говноконтора с бизнес моделью мы дешевле чем дойче бан, технологии там сами понимаете какие. Или я не понял о чем речь

Приветствую может кто-нибудь подсказать (или ссылочкой в доку поделиться), как реализовать такую логику 1) сначала стартует deployment с базой 2) затем стартует job-а с миграциями 3) затем стартуют остальные деплойменты и сервисы запуск производится через helm

Какое-то собрание антипаттернов - база в деплойменте, миграцию нужно строго до запуска приложения запустить и тд

я придерживаюсь мнения, что ci не должно обладать знаниями о настройке окружения, только endpoint, в который пихать новый билд

Так вроде с —reuse-values —set image.tag=... оно так и будет?

есть таска, которая должна запускаться каждую минуту (работать она может от оной минуты до 5 часов), конкуретнтность выполнения запрещена, запрет основывается на файловых локах. В идеологии докера - эти локи не работают. (Когда выкатывается новая версия приложения, задача стартует в 2 подах), хотя должна бы в новом не стартовать, пока в старом не умрет. Старый под при деплое новой версии приложения перестает запускать новые кронтаски, а только доделывает что были и умирает. Дешевле выглядит переделать эу таску на кронджобу.

А если просто деплоймент с кронтабом внутри и rolling update policy recreate?

Приветствую может кто-нибудь подсказать (или ссылочкой в доку поделиться), как реализовать такую логику 1) сначала стартует deployment с базой 2) затем стартует job-а с миграциями 3) затем стартуют остальные деплойменты и сервисы запуск производится через helm

Pre install и pre udpate хук в helm

Что касается порядка запусков сервисов - в кубере, в частности в хелме, не существует порядка запуска. Только костыли типа init контейнеров

Если нет инит контейнера, то сервис должен понимать, что не все готово и падать

Кто-нибудь сталкивался с проблемой ndots в куб-кластере устанавливал через kubespray в параметрах выставил ndots: 2 в сервисе тоже все хорошо cat /etc/systemd/system/docker.service.d/docker-dns.conf |grep ndot --dns-opt ndots:2 --dns-opt timeout:2 --dns-opt attempts:2 \ Но внутри пода cat /etc/resolv.conf |grep ndot options ndots:5 Это откуда он его мог взять? В качестве DNS-сервера kubedns

resolv.conf под наследует от ноды. Я в итоге подам которые не ходят внутри кластера а только наружу сделал днс полиси с кажется вообще ndots:1

Давайте кубер в кубере запускать

Знаю минимум 3 конторы кто так и делает причём не для себя а на продажу