так-то можно железки с 4гб оперативы купить, но это не очень безумная идея же

пора написать свой kubelet.sh

> kubelet.sh’s server IP address could not be found. :(

уже вон шедуллер написали, так что дело за малым :) https://github.com/rothgar/bashScheduler

> Kubernetes scheduler written in 100 lines of bash ? ?

видно же что чувак баловался :)

Го не нужен, это было понятно сразу

Кстати есть подозрение что на arm'е он не будет столько-же сколько и на amd64 хавать

Ну я ещё не пробовал конечно

Ребят, всем привет

Объясните пожалуйста, для чего используется namespace kube-system?

Объясните пожалуйста, для чего используется namespace kube-system?

для системных ресурсов, тех что необходимы для функционирования kubernetes и его экосистемы

ещё вопрос, какой бест практис, есть 2 неймспейса, дев и стэйджин. Создавать для каждого свой сервис аккаунт и деплоить через него, или всё через один?

имеет смысл разные сервис аккаунты делать, если деплоят разные гитлаб раннеры.

понял, спасибо

имеет смысл сервисы пихать в разные неймспейсы а для стейж-прод делать вообще разные кластеры

кстати да, про разные кластеры

имеет смысл сервисы пихать в разные неймспейсы а для стейж-прод делать вообще разные кластеры

День добрый! Когда ресечил эту проблему, нашёл больше рекомендаций дев и стейдж запускать в разных найм спейсах, а не кластерах.

Можешь поделиться мнением, почему лучше разные кластеры?

чтобы 1) неправильный экспериментальный деплоймент в стейжинг не засрал тебе прод 2) была возможность экспериментировать с самим кубернетисом

У нас теже мысли были, когда на разные кластеры разносили

Немного не понял, как деплоймент в стейджинге может засрать прод?

съесть все ресурсы в кластере - легко

Можно же ограничь ресурсы

На поды

как это противоречит тому что я сказал?

съесть все ресурсы в кластере - легко

Так для этого же обычно прод выносят на отдельные ноды?

а разве можно прибивать неймспейсы к нодам?

вроде нельзя было

Кубер не будет выжирать ресурсы выше заданного лимита и собственно он планирует размещение подов на основе заданных ресурс реквестов

Как он может выжрать все ресурсы?

Кубер не будет выжирать ресурсы выше заданного лимита и собственно он планирует размещение подов на основе заданных ресурс реквестов

а теперь сделай replicas: 100

Это проблема не неймспейса, а обще вычислительной мощности кластера

ошибки в деплойменте на стейжинг могут поаффектить прод

мой тезис был такой

мне кажется или ты хочешь оспорить этот тезис?

ошибки в деплойменте на стейжинг могут поаффектить прод

+

а разве можно прибивать неймспейсы к нодам?

Ну я вообще имел в виду для прода держать отдельно ноды с нужными тегами

Ну я вообще имел в виду для прода держать отдельно ноды с нужными тегами

а почему бы тогда не держать отдельный кластер?

это же развязывает руки для экспериментов

Реально второй пункт про эксперименты имеет место быть

Мы пару раз засирали qa кластер

главное не забывать синкать изменения с тестового на прод ?

а почему бы тогда не держать отдельный кластер?

Доп затраты на железо? Хотя если есть необходимый бюджет, то это и не проблема)

Так у вас и так отдельные ноды

ну тут смотря что дороже - работа людей и риски надёжности или пара дополнительных серверов/виртуалок под аписервера/етцд

кол-во нод то же самое же останется

Тогда как вариант dev, uat , staging на одном кластере, а прод на другом

Тогда как вариант dev, uat , staging на одном кластере, а прод на другом

если где-то надо будет нагрузочное тестирование делать, то может понадобиться разделить dev и staging например

но лично я голосую за отделение прода от не-прода

хотя бы как первый шаг

кол-во нод то же самое же останется

Ну я имел в виду, что что мастер ноды вообще отдельно держать, или все в куче это нормальная практика?

нормальность у всех разная

кто-то и етцд внутри кубера держит

а кто-то и аписервер бинарями на выделенных серверах запускает через системд

но лично я голосую за отделение прода от не-прода

Пока стенда 2 - это не проблема. А когда их становится 20? Может лучше RBAC и нормальное ограничение на ресурсы?

а что, 20 - это проблема?

20 кластеров поддерживать (еще и одинаковыми) уже сильно трудозатратнее

сбор логов еще тема такая, которую сложно разделить в рамках одного кластера

иначе начинаются вопросы на тесте работало а на проде не летит.

тестовое барахло может засерить хорошенько, пробив лимиты и тд

20 кластеров поддерживать (еще и одинаковыми) уже сильно трудозатратнее

automate all the things чувак

если ты руками кластер поднимаешь, то это конечно трудно

automate all the things чувак

Почему разделение ресурсов внутри кластера так не одобряется?

20 кластеров поддерживать (еще и одинаковыми) уже сильно трудозатратнее

*в ks это из коробки*

Почему разделение ресурсов внутри кластера так не одобряется?

потому что это не мешает тебе сделать по ошибке replicas: 100 в стейжинговом неймспейсе и выесть все ресурсы кластера

Почему разделение ресурсов внутри кластера так не одобряется?

чтобы одним движением руки навернулся один кластер, а не 20

в том же заландо ваще кластер на условный проект

а разве можно прибивать неймспейсы к нодам?

Можно, и достаточно легко теперь https://stackoverflow.com/questions/52487333/how-to-assign-a-namespace-to-certain-nodes

Можно, и достаточно легко теперь https://stackoverflow.com/questions/52487333/how-to-assign-a-namespace-to-certain-nodes

оооо! это что-то новенькое! спасибо

потому что это не мешает тебе сделать по ошибке replicas: 100 в стейжинговом неймспейсе и выесть все ресурсы кластера

ограничения на неймспейс?

а они есть?

Добрый день. Не подскажете, в случае со свежеустановленным kubernetes 1.11.3, какие условия должны быть выполнены для подключения к удалённому кластеру с помощью kubectl с внешки? Если я правильно понял, в общем случае следует подсунуть локальному kubectl файл .kube/config, изменив в нём адрес сервера, и всё должно взлететь. kubeadm init на матсере выполнен с параметром --apiserver-cert-extra-sans, но всё равно полноценно подключиться не выходит.

а они есть?

https://kubernetes.io/docs/concepts/policy/resource-quotas/

Не?

Добрый день. Не подскажете, в случае со свежеустановленным kubernetes 1.11.3, какие условия должны быть выполнены для подключения к удалённому кластеру с помощью kubectl с внешки? Если я правильно понял, в общем случае следует подсунуть локальному kubectl файл .kube/config, изменив в нём адрес сервера, и всё должно взлететь. kubeadm init на матсере выполнен с параметром --apiserver-cert-extra-sans, но всё равно полноценно подключиться не выходит.

А он у вас к api-серверу то подключается вообще?

https://kubernetes.io/docs/concepts/policy/resource-quotas/

Как ресурсы можно ограничить, так и число подов

Ну тогда снова вопрос - зачем делать много кластеров?

А он у вас к api-серверу то подключается вообще?

Извините за нубство, но вопроса не понял. Речь про отсутствие сетевых проблем?

Извините за нубство, но вопроса не понял. Речь про отсутствие сетевых проблем?

telnet k8s-master 6443

https://kubernetes.io/docs/concepts/policy/resource-quotas/

okay okay, я не шарю в admission control'ах

okay okay, я не шарю в admission control'ах

Да я сам только неделю как ковыряюсь в доке. RBAC нормально до сих пор не настроил.

telnet k8s-master 6443

Да, на сети очевидных проблем нет. Сообщения об ошибках явно от сервера, я и версию софта на сервере мог посмотреть, если из config удалить данные сертификата, но в этом случае список подов, например, получить не выходит.

А что за ошибка?

Добрый день. Не подскажете, в случае со свежеустановленным kubernetes 1.11.3, какие условия должны быть выполнены для подключения к удалённому кластеру с помощью kubectl с внешки? Если я правильно понял, в общем случае следует подсунуть локальному kubectl файл .kube/config, изменив в нём адрес сервера, и всё должно взлететь. kubeadm init на матсере выполнен с параметром --apiserver-cert-extra-sans, но всё равно полноценно подключиться не выходит.

А зачем менять адрес сервера? Он не резолвиться?

А что за ошибка?

>kubectl get nodes --insecure-skip-tls-verify=true No resources found. Error from server (Forbidden): nodes is forbidden: User "system:anonymous" cannot list nodes at the cluster scope >kubectl get nodes No resources found. Unable to connect to the server: x509: certificate signed by unknown authority

RBAC работает

Почитай про https client authorisation

А зачем менять адрес сервера? Он не резолвиться?

Ну адрес в файле, взятом с мастера он локальный, а я подключаюсь не из той же сети

Дай теперь .kube/config

Ну адрес в файле, взятом с мастера он локальный, а я подключаюсь не из той же сети

так может мастер только локально и слушает. Тогда начинай по новой, с правильным адресом кластера, так чтобы там ничего менять не пришлось

Суть в том что ты работаешь от имени system:anonimous который ничего не может

>kubectl get nodes --insecure-skip-tls-verify=true No resources found. Error from server (Forbidden): nodes is forbidden: User "system:anonymous" cannot list nodes at the cluster scope >kubectl get nodes No resources found. Unable to connect to the server: x509: certificate signed by unknown authority

сертификат не валидный (томущо ты поменял адрес кластера, а новый сертификат на это имя не получил)

Хотел ещё спросить про инструменты деплоя в куб. Хотелось что бы скрипты накатки и темплейты конфигов лежали все в одном месте + актуальные значения для конфигов для каждого окружения в зашифрованном виде. Грубо говоря что бы я одной командой поднял все окружение - все мои сервисы и какой-нибудь консул и в этот консул залил нужные мне кофиги. Что то похожее на ansible только для k8s ??

Плин сертификат самоподписанный

Он же пишет, что нету доверия к авторизационному центру

Вы читайте потом советуйте