не советую

А что тогда лучше будет использовать для алертов? Сейчас смотрю на алерты Grafana или Prometheus, но хотелось бы что бы было это дело снаружи.

а что именно вы хотите снаружи мониторить?

там вроде с днс такие проблемы были

Ну у меня и поды с coredns тоже также ведут себя :)

А что тогда лучше будет использовать для алертов? Сейчас смотрю на алерты Grafana или Prometheus, но хотелось бы что бы было это дело снаружи.

второй кластер же.

?

А вообще у меня просто https://uptimerobot.com/ мониторит снаружи. Все, что можно. Если вдруг внутри начинаются проблемы, он помогает.

а что именно вы хотите снаружи мониторить?

Вообще хотелось бы иметь какой-то аллерт менеджер снаружи, если кластер грохнулся, то что бы можно было понять почему. Не знаю логично это или нет. Может есть какие-то то другие более практичные кейсы или практики

Сложил 2 фвайла в конфигмап. Как их подложить в контейнер по двум разным путям?

Вообще хотелось бы иметь какой-то аллерт менеджер снаружи, если кластер грохнулся, то что бы можно было понять почему. Не знаю логично это или нет. Может есть какие-то то другие более практичные кейсы или практики

ну поставьте рядом что-либо которое в kubernetes не умеет, а просто проверят состояние vm или baremetal

ну поставьте рядом что-либо которое в kubernetes не умеет, а просто проверят состояние vm или baremetal

Эх, проблема то что кластер в облаке(

вот с этого надо было и начинать, а то получается каждым новом своим сообщением вы привносите новые условия

скоро мы узнаем что кластер в облаке, облако в яйце, яйцо у РосАтома

если в облаке, зайдите в control plane и настройте там нотификации на нужные события

Я описал простую схему. Публичные чеки повесить в https://uptimerobot.com/ или ещё какой монитор. В 99% поможет.

если в облаке, зайдите в control plane и настройте там нотификации на нужные события

Я имел в виду про кейсы по типу этого оператора Icinga. Оператор работает внутри кластера и проводит различные хэлтчеки и мониторит события в kubeapi. На основании этого шлет во внешнюю систему всю эту стату.

Я имел в виду про кейсы по типу этого оператора Icinga. Оператор работает внутри кластера и проводит различные хэлтчеки и мониторит события в kubeapi. На основании этого шлет во внешнюю систему всю эту стату.

это может делать также prometheus например, раздеплоенный рядом. (не в кластере) вы Icinga где будете держать? вне кластера?

внешний prometheus + blackbox exporter + alertmanager

это может делать также prometheus например, раздеплоенный рядом. (не в кластере) вы Icinga где будете держать? вне кластера?

Да вот с прометеус идеально, но вот не совсем понимаю как это все будет работать

вам нужна наша моральная поддержка?

Вообще хотелось бы иметь какой-то аллерт менеджер снаружи, если кластер грохнулся, то что бы можно было понять почему. Не знаю логично это или нет. Может есть какие-то то другие более практичные кейсы или практики

SNS

Это если амазон

вам нужна наша моральная поддержка?

Я выше все написал.

привет, подскажите оператор для разворачивания ha кластеров постгреса на кубере

вам нужна наша моральная поддержка?

Не видел кейсов, что бы прометей наружу отдавал метрики. Вроде же секьюрность не поддерживает?

да что ж оно все гигантское такое

я знал, что ты сможешь понять шутейку!

а вот теперь понял

не все провайдеры ещё предоставляют порты

не все провайдеры ещё предоставляют порты

Но многие работают на портах!

а вот теперь понял

сложновато получилось да

слишком молодые

тюрем не видели

я делал джейлы на bsd

и сидел в них

но тест прошёл)

Так и не получилось у меня завести Gitlab Runner для k8s нормально: при deploy у меня не работает helm в поде, который поднимает gitlab-runner. Никто не подскажет? Или я совсем не правильно делаю?

ну так то куб же компонентный. Только каждый компонент нужно будет по портам раскидать, веселья то.

лучше сразу по разным network неймспейсам

Так и не получилось у меня завести Gitlab Runner для k8s нормально: при deploy у меня не работает helm в поде, который поднимает gitlab-runner. Никто не подскажет? Или я совсем не правильно делаю?

проверьте доступность через kubectl get nodes например?

проверьте доступность через kubectl get nodes например?

Доступность нод?

доступность api

I have written a script and installed in one container that will give me pod stats. Using prometheus client library I write the generated metric on port 8080. What entry I need to make in configuration yaml on prometheus server?

I have written a script and installed in one container that will give me pod stats. Using prometheus client library I write the generated metric on port 8080. What entry I need to make in configuration yaml on prometheus server?

ServiceMonitor https://github.com/coreos/prometheus-operator/blob/master/Documentation/user-guides/running-exporters.md

https://youtu.be/uxiTzwjf7Eg

всем привет. подскажите плиз по ошибке helm install stable/kibana --set ingress.enabled=true,ingress.hosts=kibana.mydomain.io Error: render error in "kibana/templates/ingress.yaml": template: kibana/templates/ingress.yaml:19:30: executing "kibana/templates/ingress.yaml" at <.Values.ingress.host...>: range can't iterate over kibana.mydomain.io

Удивление месяца: в кубе контейнеры запускаются с нулевой seccomp policy , вместо дефолтной докера

всем привет. подскажите плиз по ошибке helm install stable/kibana --set ingress.enabled=true,ingress.hosts=kibana.mydomain.io Error: render error in "kibana/templates/ingress.yaml": template: kibana/templates/ingress.yaml:19:30: executing "kibana/templates/ingress.yaml" at <.Values.ingress.host...>: range can't iterate over kibana.mydomain.io

сам себе и отвечаю. исправленный вариант: helm install --set ingress.enabled=true,ingress.hosts[0]=kibana.mydomain.io stable/kibana

сам себе и отвечаю. исправленный вариант: helm install --set ingress.enabled=true,ingress.hosts[0]=kibana.mydomain.io stable/kibana

можно было и ingress.hosts=["kibana.mydomain.io"]

пробовал '' и [], а [''] не пробовал )

Удивление месяца: в кубе контейнеры запускаются с нулевой seccomp policy , вместо дефолтной докера

почитал заодно https://kubernetes.io/docs/concepts/policy/pod-security-policy/#seccomp тут говорят словно дефолт именно такой

Удивление месяца: в кубе контейнеры запускаются с нулевой seccomp policy , вместо дефолтной докера

Ну да, это включается аннотацией в PSP

все видимо виноваты кучи вариантов cri

I have written a script and installed in one container that will give me pod stats. Using prometheus client library I write the generated metric on port 8080. What entry I need to make in configuration yaml on prometheus server?

Search "Prometheus Service Discovery Kubernetes", you don't even need the operator

I have written a script and installed in one container that will give me pod stats. Using prometheus client library I write the generated metric on port 8080. What entry I need to make in configuration yaml on prometheus server?

для сбора метрик по подам тебе не надо никаких скриптов писать, можно из kubelet'а собирать метрики

и/или из kube-state-metrics

Ну да, это включается аннотацией в PSP

Мне кажется в стремлении отстраниться от докера они перегнули палку :)

Мне кажется в стремлении отстраниться от докера они перегнули палку :)

Расслабленная секьюрити кубера по дефолту - это для многих хлеб и масло :)

Ну да, это включается аннотацией в PSP

Я не могу включить это аннотацией psp, потому что она задним числом не применится, а значит если докеровский seccomp что-то сломает, то это всплывёт только при рестарте пода, что может случится например при переезде на другую ноду , классические "я ничего не трогал , раньше работало, теперь нет" от разработчиков станет правдой хотя бы раз :)

Расслабленная секьюрити кубера по дефолту - это для многих хлеб и масло :)

В клаудных кубах так же?

шансы что seccomp сломает малы, там много низкоуровневой гадости отключается. Вот выключение capabilities может выключить что-то важное

В клаудных кубах так же?

openshift online вроде пока проносит

шансы что seccomp сломает малы, там много низкоуровневой гадости отключается. Вот выключение capabilities может выключить что-то важное

Согласен, но буду прикладывать аннотации при каждом деплое все равно, когда внимание разработчиков на работает ли оно выше

Согласен, но буду прикладывать аннотации при каждом деплое все равно, когда внимание разработчиков на работает ли оно выше

сейчас разве ты не можешь деплойменты проапгрейдить на тесте, стригерить апдейт и посмотреть? =)

Я не хочу проверять каждое приложение. Я лучше изменю применяемый дефолт и при следующем деплое разработчики сами расскажут, если что сломалось, а я покажу как вернуть назад для конкретного приложения

https://youtu.be/uxiTzwjf7Eg

Жду кучи вопросов, когда народ массово потащит это в прод

затащили уже два месяца назад ?

без баззворда "cannary upgrades" :)

Жду кучи вопросов, когда народ массово потащит это в прод

ну так истио еще не обьезженная тема, естесна будут

Я про массовый сегмент нубов

массовый сегмент нубов буде страдать да, первое время

впрочем, ничего нового

массовый сегмент нубов буде страдать да, первое время

Просто судя по количеству вопросов по helm, который явно не новый страдать нубы будут хорошо

затащили уже два месяца назад ?

и какие фичи в первую очередь юзаете?

и какие фичи в первую очередь юзаете?

traffic management

traffic management

кстати, а пробовали Kiali (http://www.kiali.io/)? Выглядит очень интересно

кстати, а пробовали Kiali (http://www.kiali.io/)? Выглядит очень интересно

Неа, взгляд не падал

https://github.com/zegl/kube-score > Container image tag (should not be :latest) глас разума! > Container image pull policy (should be Always) вот это спорно имхо

>Container probes .. should not be identical странное требование

почему?

>Container probes .. should not be identical странное требование

Видимо потому что ready != live

ready = live если не нужен прогрев кеша и это простое http api

Я стремлюсь, к тому, чтобы у меня все было простое. И этого много.

почему?

к примеру для etcd пода в обоих случаях достаточно вызывать cluster-health, зачем обязательно делать их разными?

Всем привет) Кто-нибудь реализовывал в kubernetes live-миграцию контейнера на другую ноду?

с помощью criu

cloud native they said

могу предложить совать кубеноды в lxc и переносить целый lxc через criu на другие хосты :)

cloud native they said

у меня пичот

могу предложить совать кубеноды в lxc и переносить целый lxc через criu на другие хосты :)

мне кажется это первый такой вопрос в этом чате

но он должен был появиться