есть нубовый вопрос по формату helm charts

А что, в докере видеокарты уже нормально работают?

да уже года 2 как, ну или define нормально

обязательно ли использовать Secrets для, например, MYSQL_PASSWORD или же я могу отдать это в виде env variable?

вернее я знаю уже 2 года конторы которые крутят в проде куб на ГПУ, а докер может и дольше

Ты можешь секрет передать в env

spec: services: - environment: CLI_SCRIPT: php /app/web/typo3/cli_dispatch.phpsh MYSQL_DATABASE: typo3 MYSQL_HOST: mysql MYSQL_PASSWORD: xxxxxxxxxxxxx MYSQL_PORT: "3306" MYSQL_ROOT_PASSWORD: xxxxxxxxxxxxxx MYSQL_USER: typo3 TYPO3_CONTEXT: Production WEB_DOCUMENT_INDEX: index.php WEB_DOCUMENT_ROOT: /app/web/

но в явном виде нельзя?

Безопасность на твоей ответственности

почему?

Как хочешь - так и передавай

.phpsh oh shi~

++ к вышенаписанному

.phpsh oh shi~

.phpshit

.phpsh oh shi~

а кому сейчас легко

Енв можно взять из сикрета

обязательно ли использовать Secrets для, например, MYSQL_PASSWORD или же я могу отдать это в виде env variable?

Делаешь как хочешь, просто у тебя декларации как правило лежат где-то в гите, хранить там публичные пароли к проду - ну такое. Плюс секрет можно пошарить между контейнерам, env ты каждому будешь руками писать

Енв можно взять из сикрета

у меня несколько кластеров и два репозитория, я не могу везде делать secrets

Можешь

Делаешь как хочешь, просто у тебя декларации как правило лежат где-то в гите, хранить там публичные пароли к проду - ну такое. Плюс секрет можно пошарить между контейнерам, env ты каждому будешь руками писать

приватный репо

спасибо!

приватный репо

Который читает вся команда, ага, очень приватный)))

Как ты будешь относиться к секурности твои паролей - твоя ответственность, можешь плейнтекстом хранить где хочешь

Щас ваще можно волт заюзать и будет норм

Щас ваще можно волт заюзать и будет норм

+++

Щас ваще можно волт заюзать и будет норм

можешь ссылкой поделиться?

Нынче это через ebpf можно, без кастомного модуля

falco трейсит вызовы, а не пакеты, чем тут ebpf поможет?

falco трейсит вызовы, а не пакеты, чем тут ebpf поможет?

Ебпф тоже сисколы трейсит, несмотря на название

falco трейсит вызовы, а не пакеты, чем тут ebpf поможет?

че прям до такой степени надо задрочиться?) до сетевых пакетов?

spec: services: - environment: CLI_SCRIPT: php /app/web/typo3/cli_dispatch.phpsh MYSQL_DATABASE: typo3 MYSQL_HOST: mysql MYSQL_PASSWORD: xxxxxxxxxxxxx MYSQL_PORT: "3306" MYSQL_ROOT_PASSWORD: xxxxxxxxxxxxxx MYSQL_USER: typo3 TYPO3_CONTEXT: Production WEB_DOCUMENT_INDEX: index.php WEB_DOCUMENT_ROOT: /app/web/

- name: mycontainer image: redis env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: mysecret key: username - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: mysecret key: password вот так наверное поудачнее будет

Хотя оно появилось как пакетфильтр, сейчас фичи вылезли за рамки названия

Ебпф тоже сисколы трейсит, несмотря на название

а, точно, интересненько

Я до сих пор в шоке

spec: services: - environment: CLI_SCRIPT: php /app/web/typo3/cli_dispatch.phpsh MYSQL_DATABASE: typo3 MYSQL_HOST: mysql MYSQL_PASSWORD: xxxxxxxxxxxxx MYSQL_PORT: "3306" MYSQL_ROOT_PASSWORD: xxxxxxxxxxxxxx MYSQL_USER: typo3 TYPO3_CONTEXT: Production WEB_DOCUMENT_INDEX: index.php WEB_DOCUMENT_ROOT: /app/web/

TYPO3? бегиии

Ну и на ходу можно загружать жит-компиленое чо хочешь

TYPO3? бегиии

#проклято

Уже успели поигратся?

только увидел 5 минут назад

приватный репо

ахаха и что? хотя бы git-crypt зашифруй

блин чуваки, все наоборот

Ну и на ходу можно загружать жит-компиленое чо хочешь

так, я немного пропустил, речь о nftables и netfilter?

Не совсем

я начал искать почему у меня tiller контейнер не деплоится, а потом уж в yaml заглянул

Это какая-то не кубер-вей отказоустойчивость, подразумевается что отказоустойчивость как раз обеспечивает сервис за которым скрывается 1-2-n подов с приложением

не погу просто сделать реплику сервиса так как tyk-gateway представляет из себя набор сервисов там и редис-кластре и монго и отдельно сервис tyk-gateway которые работою вместе. Поэтому был создан tyk-gateway2 со всеми компонентами. (https://github.com/TykTechnologies/tyk-kubernetes)

так, я немного пропустил, речь о nftables и netfilter?

Кажется это уже оффтоп, но вкратце: ебпф уже не только пакетный фильтр

и я наехал на разрабов что они secret не используют, они говорят что в env variables тоже норм

Хотя оно появилось как пакетфильтр, сейчас фичи вылезли за рамки названия

https://github.com/draios/sysdig/wiki/eBPF

обязательно ли использовать Secrets для, например, MYSQL_PASSWORD или же я могу отдать это в виде env variable?

Привет ? Я бы пароли не стал через env передавать. Например их можно будет увидеть в дашборде в дескрипшне пода, а секреты дашборт так в открытом виде не покажет

а нормально вообще в одном yaml файле стартовать frontend и backend?

например вот так:

а нормально вообще в одном yaml файле стартовать frontend и backend?

да, если не напрягает размер файла.

spec: services: - environment: CLI_SCRIPT: php /app/web/typo3/cli_dispatch.phpsh MYSQL_DATABASE: yyyy MYSQL_HOST: mysql MYSQL_PASSWORD: xxxxxxxxxxxxx MYSQL_PORT: "3306" MYSQL_ROOT_PASSWORD: xxxxxxxxxxxxx MYSQL_USER: typo3 TYPO3_CONTEXT: Production WEB_DOCUMENT_INDEX: index.php WEB_DOCUMENT_ROOT: /app/web/ image: docker-registry.xxxxxxxxxxxxx name: app ports: - mode: ingress protocol: tcp published: 80 target: 80 volumes: - source: yyyy-data target: /app/web/uploads type: volume - source: yyyy-data target: /app/web/fileadmin type: volume - environment: image: docker-registry.xxxxxxxxxxxxx name: mysql volumes: - source: mysql target: /var/lib/mysql type: volume

а нормально вообще в одном yaml файле стартовать frontend и backend?

Ты можешь весь кластер из ямля запускать

понял, благодарю

Это не "один файл", а один под

И это не нормально

deployment нужен как минимум

а нормально вообще в одном yaml файле стартовать frontend и backend?

новая цитата в копилку прямо

в ямле стартовать

и я наехал на разрабов что они secret не используют, они говорят что в env variables тоже норм

это лень разрабов - пинать их нужно. Обычное дело. если env через секреты наполняешь, то нигде значения секретов видны не будут кроме как в самом env контейнера. снаружи в описаниях пода везде будут ссылки на секреты.

новая цитата в копилку прямо

я два часа назад про helm прочитал, сорямба )

"свеженький" ?

я два часа назад про helm прочитал, сорямба )

а про кубернет?

Кажется это уже оффтоп, но вкратце: ебпф уже не только пакетный фильтр

и весь ебпф джитуется?

Я не спец, но вроде опционально

Для кубеней уже написали какой-то балансер на ебпф

я просто пока только про nftables такое слышал

cilium на ebpf же делают network policy насколько я помню

Во, цилиум

а про кубернет?

minikube на маке стоит месяца два как, когда есть время смотрю потихоньку

Неправильно запомнил возможно

minikube на маке стоит месяца два как, когда есть время смотрю потихоньку

helm управляет выкатом и шаблонизирует. То что ты выкатываешь - это уже манифесты кубернета. В одном файле манифеста ты можешь сколько угодно yaml секций сделать разделяя их --- Но это не удобно обычно Либо можешь выкатить всё в одном поде. Либо можешь выкатить в одном файле но в разных подах И лучше через deployment, а не прямо поды.

не погу просто сделать реплику сервиса так как tyk-gateway представляет из себя набор сервисов там и редис-кластре и монго и отдельно сервис tyk-gateway которые работою вместе. Поэтому был создан tyk-gateway2 со всеми компонентами. (https://github.com/TykTechnologies/tyk-kubernetes)

Там же в репе деплоймет этого сервиса написан. Деплоймент сам поднимет все что упадет в нем, опять же, базовое свойство кубера

Там же в репе деплоймет этого сервиса написан. Деплоймент сам поднимет все что упадет в нем, опять же, базовое свойство кубера

на практике не поднимает, после автоскейла и перемещения подов, часто разваливается. Собственно в этом и проблемма

helm управляет выкатом и шаблонизирует. То что ты выкатываешь - это уже манифесты кубернета. В одном файле манифеста ты можешь сколько угодно yaml секций сделать разделяя их --- Но это не удобно обычно Либо можешь выкатить всё в одном поде. Либо можешь выкатить в одном файле но в разных подах И лучше через deployment, а не прямо поды.

услышал

helm управляет выкатом и шаблонизирует. То что ты выкатываешь - это уже манифесты кубернета. В одном файле манифеста ты можешь сколько угодно yaml секций сделать разделяя их --- Но это не удобно обычно Либо можешь выкатить всё в одном поде. Либо можешь выкатить в одном файле но в разных подах И лучше через deployment, а не прямо поды.

а где есть хорошие примеры, посложнее alpine и nginx?

а где есть хорошие примеры, посложнее alpine и nginx?

https://github.com/helm/charts

на практике не поднимает, после автоскейла и перемещения подов, часто разваливается. Собственно в этом и проблемма

У меня поднимает

Коллеги кто обновлялся с 11 до 12 - грабли были?

а где есть хорошие примеры, посложнее alpine и nginx?

https://habr.com/company/flant/blog/417079/

У меня поднимает

по мануалу ставил или что то доделывал?

Какому мануалу?

Какому мануалу?

README в смысле

Если у тебя в деплойменте написано replicas: 5, то кубер будет стараться сделать 5

Одна упадёт - поднимется ещё 1

это понятно, там в связке редис кластер, при переезде подов с ним теряется связь

и не посстанавливается

Кто ж знает как у тебя это всё настроено

ну вот) мне интресно можно ли через ingress просто балансировку сделать

Можно

/me делал - работало

Но при чём тут редис - не очень понятно

не суть важно зачем там редис)

Балансировку ингрессом сделать можно

Можно

но не нужно

Или нужно

Парни история следующая два кластера dev и прод

Cpu requests на dev под поды 0

А на проде какой бы не стартанул cpu requests 100m

В спеке лимитов нет