@kubernetes_ru

Страница 941 из 958
 
Alexey
23.10.2018
15:44:05
Тебе не нужен нодпорт

 
light
23.10.2018
15:44:57
why?

 
Andrew
23.10.2018
15:45:44
Пусть апдейтит, с VMware жизнь сильно лучше, почти клауд прям
а можете подсказать, насчет их решения pivotal, работали? Это я так понял, кубер+пивотал+докер? Рассказывали на презентации, что они там с гугл напрямую работают, но стоит много денех.

 
Alexey
23.10.2018
15:46:10
why?
ингресс мапает обычные кластерапи сервисы

Google
 
light
23.10.2018
15:47:41
ингресс мапает обычные кластерапи сервисы
ок, спасиб, буду двигаться в том направлении

 
и еще один не очень умный вопрос

 
Vadim
23.10.2018
15:49:10
ух, ставить кубернетес чтобо он сгенерил nginx'cовский конфиг и редиректил на контейнеры - это мощно

 
light
23.10.2018
15:49:25
резонно ли создавать по такому сервису на каждый деплоймент? если все деплойменты однотипные, но должны быть разделены?

 
ух, ставить кубернетес чтобо он сгенерил nginx'cовский конфиг и редиректил на контейнеры - это мощно
дело не только в этом

 
Anton
23.10.2018
15:50:03
резонно ли создавать по такому сервису на каждый деплоймент? если все деплойменты однотипные, но должны быть разделены?
у каждого свой набор labels, service использует labelselector для выбора нужных ребяток

 
Vadim
23.10.2018
15:50:13
я все понимаю, нужно забить гвоздь, а рядом кубер лежит

 
Anton
23.10.2018
15:50:18
соответвенно у каждого свой сервайс, если их перемешивать не нужно

 
light
23.10.2018
15:50:36
спасибо, я на правильном пути

 
я все понимаю, нужно забить гвоздь, а рядом кубер лежит
может и так, но я рад, что учу все это

 
bebebe
23.10.2018
16:07:56
я все понимаю, нужно забить гвоздь, а рядом кубер лежит
Или ансибл

 
Anton
23.10.2018
16:11:39
Че вы начинаете, дайте человеку развиваться

 
Andor
23.10.2018
16:12:52
Или ансибл
kube-spray!

Google
 
Stas
23.10.2018
16:17:22
kube-spray!
rke fix-cluster

 
bebebe
23.10.2018
16:28:36
Надо написать модуль для терраформа который запускает kubespray

 
Stas
23.10.2018
16:36:14
ох японский код в огне не горит

 
bebebe
23.10.2018
16:37:38
ох японский код в огне не горит
Очень грубо.

 
Stas
23.10.2018
16:42:41
Очень грубо.
поправил

 
Yura
23.10.2018
18:10:23
Народ, а кто как дружит HashiCorp Vault с Kubernetes? Есть Vault (вне Кубера) и k8s кластер. Идея в том, чтобы как-то создавать k8s секреты для приложений из содержимого Vault

 
Andor
23.10.2018
18:10:54
гугл чо про это говорит?

 
https://github.com/Boostport/kubernetes-vault вот это у меня в первых вариантах

 
Yura
23.10.2018
18:18:44
Google отправляет в сетапы Волта внутри Кубера. Штука по ссылке, кидает неявными ошибками с валидацией сертификата (пока не ясно, как это бороть, там несколько ишью есть) Потому стало интересно , что реально люди используют. Задача то, в принципе, достаточно общая

 
terry
23.10.2018
18:18:56
а че есть типа ру сотбщество rke?

 
Andor
23.10.2018
18:19:19
а что такое rke?

 
terry
23.10.2018
18:19:46
ну типа ранчер кубернетес енжин

 
или ранчер

 
bebebe
23.10.2018
19:10:45
а что такое rke?
@rancher_ru оказывается есть 72 персонажа

 
Mikhail
23.10.2018
19:13:19
Google отправляет в сетапы Волта внутри Кубера. Штука по ссылке, кидает неявными ошибками с валидацией сертификата (пока не ясно, как это бороть, там несколько ишью есть) Потому стало интересно , что реально люди используют. Задача то, в принципе, достаточно общая
У меня внешний волт, секреты и серты выписываются инит контейнером при старте. Думаю перейти на сикреты кубера с бекендом волта.

 
У меня внешний волт, секреты и серты выписываются инит контейнером при старте. Думаю перейти на сикреты кубера с бекендом волта.
Авторизация через сервис аккаунт и его токен.

 
Alexey
23.10.2018
19:16:48
А токен в ямл?

 
Mikhail
23.10.2018
19:18:12
А токен в ямл?
Токен - это сикрет который генерируется для сервис аккаунта.

 
https://www.vaultproject.io/docs/auth/kubernetes.html

 
А, после аудентификации получаешь токен да

Google
 
Yura
23.10.2018
19:20:18
У меня внешний волт, секреты и серты выписываются инит контейнером при старте. Думаю перейти на сикреты кубера с бекендом волта.
Секреты потом через volume mount закидываются?

 
Mikhail
23.10.2018
19:20:28
Секреты потом через volume mount закидываются?
Да

 
Yura
23.10.2018
19:20:44
Спасибо!

 
Да
А ещё такой вопрос: внутри инит-контейнера просто vault client?

 
Mikhail
23.10.2018
19:27:30
А ещё такой вопрос: внутри инит-контейнера просто vault client?
Да.

 
Ну и jq

 
Alexey
23.10.2018
19:31:42
Токен - это сикрет который генерируется для сервис аккаунта.
В курсе, спасибо за идею

 
Let Eat
23.10.2018
19:59:48
ребят, а вот такой use case. Нужно засекьюрить трафик между контейнерами, образующими кластер. Они общаются по своему протоколу (поверх TCP). Что лучше — написать свой sidecar для TLS-терминации, или заюзать что-то типа Istio? Насколько я понял, последний только с HTTP работает, или я не прав?
Мне вот тоже надо будет. Я наверное все в stunnel оберну

 
а можете подсказать, насчет их решения pivotal, работали? Это я так понял, кубер+пивотал+докер? Рассказывали на презентации, что они там с гугл напрямую работают, но стоит много денех.
Я вообще не понял о чём вопрос, видимо есть какой то неизвестный мне контекст. pivotal? docker? Google cloud? Какое это имеет отношение к VMware? Точно не в моем случае

 
я все понимаю, нужно забить гвоздь, а рядом кубер лежит
Куб надо даже на отдельный сервер ставить, слишком много хорошего из коробки, слишком все переносимо куда угодно. Прям будущее наступило

 
Andrew
23.10.2018
20:06:02
Я вообще не понял о чём вопрос, видимо есть какой то неизвестный мне контекст. pivotal? docker? Google cloud? Какое это имеет отношение к VMware? Точно не в моем случае
https://cloud.vmware.com/pivotal-container-service

 
Nik
23.10.2018
20:08:03
Кто нибудь использовал coredns как dns для внешнего мира, на который делегирована зона?

 
kvaps
23.10.2018
20:24:30
попробал ksonnet теперь доволен как слон, @rossmohax спасибо за наводку

 
Andor
23.10.2018
20:25:25
хорош?

 
прям очень?

 
а то я так и не добрался

 
kvaps
23.10.2018
20:26:12
ну я в него вдуплял долго, и еще продолжаю это делать, так что я еще в самом начале пути

 
но то что есть, прям очень радует

 
особенно то что можно генерить аппликухи прямо из хельм чартов, и декларативно их описывать

 
без богомерзкого хелма и tiller :)

Google
 
Andrey
23.10.2018
20:28:29
как там в ksonnet решается стандартная проблема рестарта подов при обновлении configmap?

 
Alexey
23.10.2018
20:28:51
https://files-warehouse.com/files/stickers/31/3103/310395f670f3bf961c4b86ec897eeca3.jpg в смысле изучать, давно присматривался.

 
Andor
23.10.2018
20:29:23
как там в ksonnet решается стандартная проблема рестарта подов при обновлении configmap?
а при чём тут ksonnet?

 
kvaps
23.10.2018
20:29:24
как там в ksonnet решается стандартная проблема рестарта подов при обновлении configmap?
а разве эту проблему ksonnet должен решать?

 
Andrey
23.10.2018
20:30:34
ну helm же решает. ну то есть там есть w/a

 
Alexey
23.10.2018
20:30:45
как там в ksonnet решается стандартная проблема рестарта подов при обновлении configmap?
а чем просто env не устраивают?

 
Andrey
23.10.2018
20:31:14
"просто env"?

 
Alexey
23.10.2018
20:32:29
"просто env"?
не использовать конфиги. Использовать env, по https://12factor.net/

 
Andrey
23.10.2018
20:33:18
либо вы меня не поняли, либо я вас. Это вообще перпендикулярная вещь.

 
есть deployment, который зависит от configmap. при обновлении configmap надо передёрнуть контейнеры. всё

 
Alexey
23.10.2018
20:34:21
есть deployment, который зависит от configmap. при обновлении configmap надо передёрнуть контейнеры. всё
А что в configmap?

 
Andor
23.10.2018
20:34:33
эту проблему имхо не должна решать штука, которая генерирует манифесты для кубернетиса

 
kvaps
23.10.2018
20:34:35
ну кстати да, если очень хочется, то можно сделать одну env для пода CONFIG_VERSION, и при изменении конфига просто обновлять переменную в поде, тогда и поды будут перезапускаться и rolling update работать будет

 
Andor
23.10.2018
20:34:48
то, что к хельму прилепили костылик - не значит, что все так должны делать

 
Andrey
23.10.2018
20:35:57
эту проблему имхо не должна решать штука, которая генерирует манифесты для кубернетиса
то, что deployment решает проблемы с rolling update вас значит не смущает?

 
Andor
23.10.2018
20:36:09
мне не надо про это рассказывать

 
kvaps
23.10.2018
20:36:36
а как хельм это делает?

 
Andrey
23.10.2018
20:36:48
ну кстати да, если очень хочется, то можно сделать одну env для пода CONFIG_VERSION, и при изменении конфига просто обновлять переменную в поде, тогда и поды будут перезапускаться и rolling update работать будет
либо так, либо вручную. В любом случае об этом надо помнить. В helm это делается автоматом.

 
kvaps
23.10.2018
20:37:29
есть еще такой костыль: kubectl get pod <pod_name> -o yaml | kubectl replace pod <pod_name> -f -

 
либо так, либо вручную. В любом случае об этом надо помнить. В helm это делается автоматом.
не, мне интересно как именно он это делает, полагаю что примерно так же

Google
 
Andrey
23.10.2018
20:38:18
а как хельм это делает?
через w/a с аннотациями. В PodSpec включаются аннотации, которые считают хэш от срендеренного шаблона с configmap. Изменили configmap - изменился PodSpec в deployment

 
kvaps
23.10.2018
20:39:30
ну кстати да, если очень хочется, то можно сделать одну env для пода CONFIG_VERSION, и при изменении конфига просто обновлять переменную в поде, тогда и поды будут перезапускаться и rolling update работать будет
а, ну вот

 
получается тоже самое что и с config version

 
Alexey
23.10.2018
20:39:57
через w/a с аннотациями. В PodSpec включаются аннотации, которые считают хэш от срендеренного шаблона с configmap. Изменили configmap - изменился PodSpec в deployment
вы раскажите, что в configmap, очень инетресно.

 
Andrey
23.10.2018
20:40:55
насколько мне известно, есть два применения: как переменные окружения, либо как volume

 
получается тоже самое что и с config version
config version надо руками менять

 
Alexey
23.10.2018
20:41:40
md5 от конфига

 
Andrey
23.10.2018
20:42:01
ключевое слово "руками" :)

 
kvaps
23.10.2018
20:42:18
полагаю что в случае с ksonnet, можно тоже хэш посчитать от конфига и сохранить как переменную

 
Alexey
23.10.2018
20:42:42
ну если после правки конфига запускается ci/cd с apply, то руками ничего не нужно править.

 
Andrey
23.10.2018
20:43:34
если deployment не поменялся, то поды не рестартанут

 
никакой ci/cd без встраивания логики вам тут не поможет

 
полагаю что в случае с ksonnet, можно тоже хэш посчитать от конфига и сохранить как переменную
вот мне и интересно, как там это делается. Надо будет посмотреть. helm тоже многим не устраивает

 
есть надежда, что этот вопрос когда нибудь решат в самом k8s

 
оно правда джва года уже висит в запросах https://github.com/kubernetes/kubernetes/issues/22368

 
Andor
23.10.2018
20:54:37
ну отслеживай своим прилжением изменение конфига

 
или юзай готовый костылик

 
kvaps
23.10.2018
21:01:04
вот мне и интересно, как там это делается. Надо будет посмотреть. helm тоже многим не устраивает
мне вот тоже стало интересно, и вот у меня получилось local config_hash = std.md5(params.config);какой ksonnet клёвый!

 
Andor
23.10.2018
21:05:18
Аккуратней, сначала лучше в текст преврати с форматированием, а потом бери хеш

 
Или это и так жсон?

Страница 941 из 958