Ну пусть затреть ип

Я не смогу понять что у него не так при коннекте в ролевой моделе

Что-то я потерялся, коллеги( Ну если подойти с другой стороны к вопросу: есть свежеустановленный kubernetes на GCP (не средствами платформы, а вручную). Наверное, есть список процедур, которые надо выполнить, чтобы в дефолтном варианте всё взлетело?

вот за такое ататата надо делать

да я сменил айпи)

ты знаешь, как работает SSL/TLS и всё такое?

да я сменил айпи)

поздно, мы тебя уже вычислили

ты знаешь, как работает SSL/TLS и всё такое?

Ну относительно.

поздно, мы тебя уже вычислили

Да уже заметил

знаешь почему какое-то приложение может ругаться на то что у сервера сертификат самоподписаный?

знаешь почему какое-то приложение может ругаться на то что у сервера сертификат самоподписаный?

Доверия нет?

верно

в случае с kubectl у тебя сертификат должен быть где-то в районе конфига лежать и он по-умолчанию будет доверенным

Что-то я потерялся, коллеги( Ну если подойти с другой стороны к вопросу: есть свежеустановленный kubernetes на GCP (не средствами платформы, а вручную). Наверное, есть список процедур, которые надо выполнить, чтобы в дефолтном варианте всё взлетело?

зайдите в gcloud консоль, и получите kubeconfig gcloud config set project <GCP_PROJECT_ID> CLOUDSDK_CONTAINER_USE_CLIENT_CERTIFICATE=True gcloud container cluster get-credentials --zone <GOOGLE_ZONE_ID> <GCP_CLUSTER_NAME> kubectl config view --raw > kubeconfig далее скачивайте/копируете этот kubeconfig к себе KUBECONFIG=/path/to/kubeconfig_from_gcloud kubectl cluster-info

было ли доверие раньше - нам неизвестно

что именно у тебя поломалось в доверенностях - тоже неизвестно

Была такая мысль, не проверил. Указать путь к файлам сертификата в конфиге, разумеется?

а ну вон есть простой способ перегенерить конфиг

зайдите в gcloud консоль, и получите kubeconfig gcloud config set project <GCP_PROJECT_ID> CLOUDSDK_CONTAINER_USE_CLIENT_CERTIFICATE=True gcloud container cluster get-credentials --zone <GOOGLE_ZONE_ID> <GCP_CLUSTER_NAME> kubectl config view --raw > kubeconfig далее скачивайте/копируете этот kubeconfig к себе KUBECONFIG=/path/to/kubeconfig_from_gcloud kubectl cluster-info

он вроде говорил что не гуглом кубер поднял, а ручками

он вроде говорил что не гуглом кубер поднял, а ручками

ага ага

тогда страдайте

зайдите в gcloud консоль, и получите kubeconfig gcloud config set project <GCP_PROJECT_ID> CLOUDSDK_CONTAINER_USE_CLIENT_CERTIFICATE=True gcloud container cluster get-credentials --zone <GOOGLE_ZONE_ID> <GCP_CLUSTER_NAME> kubectl config view --raw > kubeconfig далее скачивайте/копируете этот kubeconfig к себе KUBECONFIG=/path/to/kubeconfig_from_gcloud kubectl cluster-info

не средствами GCP поднимал

Хотел ещё спросить про инструменты деплоя в куб. Хотелось что бы скрипты накатки и темплейты конфигов лежали все в одном месте + актуальные значения для конфигов для каждого окружения в зашифрованном виде. Грубо говоря что бы я одной командой поднял все окружение - все мои сервисы и какой-нибудь консул и в этот консул залил нужные мне кофиги. Что то похожее на ansible только для k8s ??

Может кто нибудь помочь с советом?

Или этот вопрос скорее в @devops_ru?

Хотел ещё спросить про инструменты деплоя в куб. Хотелось что бы скрипты накатки и темплейты конфигов лежали все в одном месте + актуальные значения для конфигов для каждого окружения в зашифрованном виде. Грубо говоря что бы я одной командой поднял все окружение - все мои сервисы и какой-нибудь консул и в этот консул залил нужные мне кофиги. Что то похожее на ansible только для k8s ??

ksonnet

Хотел ещё спросить про инструменты деплоя в куб. Хотелось что бы скрипты накатки и темплейты конфигов лежали все в одном месте + актуальные значения для конфигов для каждого окружения в зашифрованном виде. Грубо говоря что бы я одной командой поднял все окружение - все мои сервисы и какой-нибудь консул и в этот консул залил нужные мне кофиги. Что то похожее на ansible только для k8s ??

такое умеет concourse который умеет в hashicorp vault как credential manager, который умеет consul как backend

а что такое накатки? oO

Накатить - развернуть

Хотел ещё спросить про инструменты деплоя в куб. Хотелось что бы скрипты накатки и темплейты конфигов лежали все в одном месте + актуальные значения для конфигов для каждого окружения в зашифрованном виде. Грубо говоря что бы я одной командой поднял все окружение - все мои сервисы и какой-нибудь консул и в этот консул залил нужные мне кофиги. Что то похожее на ansible только для k8s ??

ansible уже предлагали?

Накатить - развернуть

именно в такой последовательности

именно в такой последовательности

)))

разворачивать прежде всего нужно через CD, а не руками. ансиблом, шмансиблом, ксоннетом, хельмом, но это должен быть CD процесс через него можно порешать проблему с сикретами

я б щас накатил, а не вот это вот всё

ansible уже предлагали?

Я вот тоже думаю о нем, но думал, что под куб может более специализированный инструмент найдётся

ksonnet

Спасибо! Посмотрю

этих инструментов известно чуть более 8 млрд. Зачем вам их все изучать если ключевое слово уже прозвучало

разворачивать прежде всего нужно через CD, а не руками. ансиблом, шмансиблом, ксоннетом, хельмом, но это должен быть CD процесс через него можно порешать проблему с сикретами

Я полностью согласен! Но больше интересен инструмент который ты в крайнем случае можешь вызвать у себя из консоли и он все сделает

да даже kubectl apply -f неплох

зависит же от задач

Я полностью согласен! Но больше интересен инструмент который ты в крайнем случае можешь вызвать у себя из консоли и он все сделает

helm(file)?/ksonnet/dapp

helm(file)?/ksonnet/dapp

Буду смотреть что больше подойдёт, спасибо!

Создал kubernetes-dashboard, хочу его прокинуть через ingress наружу. Что-то как-то сделал, но не работает: kubectl -n kube-system get services kubernetes-dashboard NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes-dashboard NodePort 10.98.28.69 <none> 443:31737/TCP 164m ^ вот тут вроде он слушает 443 порт kubectl -n kube-system get ingress NAME HOSTS ADDRESS PORTS AGE kubernetes-dashboard-ingress kubemaster 80, 443 55m ^ вроде как есть прокидка dashboard-ingress конфиг: apiVersion: extensions/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/secure-backends: "true" ingress.kubernetes.io/ssl-passthrough: "true" nginx.org/ssl-backends: "kubernetes-dashboard" kubernetes.io/ingress.allow-http: "false" name: kubernetes-dashboard-ingress namespace: kube-system spec: tls: - hosts: - serverdnsname secretName: kubernetes-dashboard-certs rules: - host: kubemaster http: paths: - path: /dashboard backend: serviceName: kubernetes-dashboard servicePort: 443 Как понять, в чём проблема? kubemaster это имя мастер-сервера, у него ip 192.168.0.16 Может быть дело в том, что ingress не слушает по этому ip?

До этого у kubernetes-dashboard был type: ClusterIP, тоже не работало

Создал kubernetes-dashboard, хочу его прокинуть через ingress наружу. Что-то как-то сделал, но не работает: kubectl -n kube-system get services kubernetes-dashboard NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes-dashboard NodePort 10.98.28.69 <none> 443:31737/TCP 164m ^ вот тут вроде он слушает 443 порт kubectl -n kube-system get ingress NAME HOSTS ADDRESS PORTS AGE kubernetes-dashboard-ingress kubemaster 80, 443 55m ^ вроде как есть прокидка dashboard-ingress конфиг: apiVersion: extensions/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/secure-backends: "true" ingress.kubernetes.io/ssl-passthrough: "true" nginx.org/ssl-backends: "kubernetes-dashboard" kubernetes.io/ingress.allow-http: "false" name: kubernetes-dashboard-ingress namespace: kube-system spec: tls: - hosts: - serverdnsname secretName: kubernetes-dashboard-certs rules: - host: kubemaster http: paths: - path: /dashboard backend: serviceName: kubernetes-dashboard servicePort: 443 Как понять, в чём проблема? kubemaster это имя мастер-сервера, у него ip 192.168.0.16 Может быть дело в том, что ingress не слушает по этому ip?

читать логи ингресс контроллера?

читать логи ингресс контроллера?

kubectl logs ingress?

пода ингресса

kubectl logs ingress?

нет, nginx ингресс контроллер, найти в каком NS он раздеплоен и читать логи

а у меня нет pod ингресса

должен быть

иначе нет ингресс контроллера )

kubectl get pods -n kube-system NAME READY STATUS RESTARTS AGE coredns-576cbf47c7-dgdmn 1/1 Running 3 3h58m coredns-576cbf47c7-k98mb 1/1 Running 3 3h53m etcd-kubemaster 1/1 Running 1 3h46m kube-apiserver-kubemaster 1/1 Running 1 3h46m kube-controller-manager-kubemaster 1/1 Running 1 3h46m kube-proxy-7vx54 1/1 Running 1 3h58m kube-proxy-l6r96 1/1 Running 0 85m kube-scheduler-kubemaster 1/1 Running 1 3h46m kubernetes-dashboard-77fd78f978-xpjq9 1/1 Running 0 173m weave-net-68clx 2/2 Running 3 3h48m weave-net-dsk5n 2/2 Running 1 85m

в другом неймспейсе посмотри

—all-namespaces | grep ingress

kubectl get ns

—all-namespaces | grep ingress

нету

я не создавал под для ингресса

я думал он встроен

Точно НЕ встроен :-)

хорошо, я не нашел как его создать

https://github.com/kubernetes/ingress-nginx/blob/master/README.md Это?

да

всё, нашел

возьми печеньку

запутанные доки -_- специально сделали так, чтоб не для людей. Чтоб девопсы могли накручивать 50$/h

Нормальные доки, если не считать того, что не всё описывают.

Вернее, не все случаи.

Error getting SSL certificate "kube-system/kubernetes-dashboard-certs": local SSL certificate kube-system/kubernetes-dashboard-certs was not found вот такое в логах. Сейчас погуглим

О, привет бывшим коллегам

Господа. Вопрос такой. Есть pv, она шурупами прикручена к конкретной ноде, переезжать не умеет, маунтиться к другим нодам не умеет. Например, hostpath Вопрос - как мне настроить Nodeselector у пода,который эту пивишку будет использовать, чтобы под шедьюлился только на эту ноду? Пока рабочий вариант - залейблить пивишку node: <nodename> и добавить в поду селектор node: <nodename>, который получается перед деплоем поды с помощью kubectl get pv --show-labels на этапе деплоя всего решения Но вариант мне не нравится, честно говоря.

Господа. Вопрос такой. Есть pv, она шурупами прикручена к конкретной ноде, переезжать не умеет, маунтиться к другим нодам не умеет. Например, hostpath Вопрос - как мне настроить Nodeselector у пода,который эту пивишку будет использовать, чтобы под шедьюлился только на эту ноду? Пока рабочий вариант - залейблить пивишку node: <nodename> и добавить в поду селектор node: <nodename>, который получается перед деплоем поды с помощью kubectl get pv --show-labels на этапе деплоя всего решения Но вариант мне не нравится, честно говоря.

я так делал, всё работало

я так делал, всё работало

У меня тоже работает. Мне не нравится мануальный шаг "сходи в пивишку, достань оттуда лейбл, сунь в темплейт"

У меня заранее висят лейблы в духе "тут рыба есть" и те деплойменты, которым нужна рыба селектят ноды где рыба есть

То есть у меня нет мануального шага, я просто заранее знаю, что лейбл есть

Господа. Вопрос такой. Есть pv, она шурупами прикручена к конкретной ноде, переезжать не умеет, маунтиться к другим нодам не умеет. Например, hostpath Вопрос - как мне настроить Nodeselector у пода,который эту пивишку будет использовать, чтобы под шедьюлился только на эту ноду? Пока рабочий вариант - залейблить пивишку node: <nodename> и добавить в поду селектор node: <nodename>, который получается перед деплоем поды с помощью kubectl get pv --show-labels на этапе деплоя всего решения Но вариант мне не нравится, честно говоря.

Мне кажется, вот это то, что нужно https://kubernetes.io/docs/concepts/storage/volumes/#local

У меня заранее висят лейблы в духе "тут рыба есть" и те деплойменты, которым нужна рыба селектят ноды где рыба есть

Вот ровно так же было до этого. Но не хотят люди лейблы на ноды проставлять

Compared to hostPath volumes, local volumes can be used in a durable and portable manner without manually scheduling Pods to nodes, as the system is aware of the volume’s node constraints by looking at the node affinity on the PersistentVolume.

Вот ровно так же было до этого. Но не хотят люди лейблы на ноды проставлять

рекомендую такой инструмент как "дрын"

рекомендую такой инструмент как "дрын"

До некоторых кастомеров дрын, к сожалению, не дотягивается

Может быть ты ему не дал понимания, что "иначе никак" и "порядок всему голова"?

как при помощи python kubernetes получшить ingress?

ну в смысле вывести

тут за слово helm не бьют?

тут за слово helm не бьют?

банят (шутка)

блин

h*lm

такможно

****

the best package manager for k8s

h*lm

прям видно булки

ок, у меня возникла потребность в h*lm чарте поменять в конфиг мапе одно из значений на podIp. А оно бах и больше не работает (на 1.12 все таки депрекейтнули Write на монтированные конфиги), заседить не могу, ничего не могу, ибо ридонли. Может, есть какой вариант скормить через values.yaml (врядли, так как он читается раньше) или еще как? средствами кубера или х***а

скажите почему helm до сих пор жив?)

потому что его юзают такие как я!

ок, у меня возникла потребность в h*lm чарте поменять в конфиг мапе одно из значений на podIp. А оно бах и больше не работает (на 1.12 все таки депрекейтнули Write на монтированные конфиги), заседить не могу, ничего не могу, ибо ридонли. Может, есть какой вариант скормить через values.yaml (врядли, так как он читается раньше) или еще как? средствами кубера или х***а

странные желания, а какой бихэвиор если под несколько?

ок, у меня возникла потребность в h*lm чарте поменять в конфиг мапе одно из значений на podIp. А оно бах и больше не работает (на 1.12 все таки депрекейтнули Write на монтированные конфиги), заседить не могу, ничего не могу, ибо ридонли. Может, есть какой вариант скормить через values.yaml (врядли, так как он читается раньше) или еще как? средствами кубера или х***а

Я ничего не понял, но это кажется работа для Downward API

Я ничего не понял, но это кажется работа для Downward API

тут хотят IP поды засунуть в cm

ну есть странная штука, которая не хочет в конфиге 0.0.0.0, хочет IP пода. А я хочу держать конфиг в конфигмапе и подставлять в конфигмап podIP. А начиная с 1.12 больше не могу.

Я ничего не понял, но это кажется работа для Downward API

+++

из нормальных вариантов я вижу только sed (через entrypoint)