Народ, подскажите, может чем можно выдавать декларативно роли в postgres и все это оставлять в vault? Тип я где-то отдельно создаю роли с нужными правами, позже их приложение себе забирает. ansible postgresql_user_module + vault сейчас скорее всего буду пробовать. Может есть что другое?

Народ, подскажите, может чем можно выдавать декларативно роли в postgres и все это оставлять в vault? Тип я где-то отдельно создаю роли с нужными правами, позже их приложение себе забирает. ansible postgresql_user_module + vault сейчас скорее всего буду пробовать. Может есть что другое?

волт умеет создавать роли в постгресе

волт умеет создавать роли в постгресе

он не умеет их декларативно править. Пока у меня пазл не сходится

Что ты называешь "декларативно"?

как deployment, apply и все.

Терраформом правь тогда

терраформ умееет baremetal?

Терраформ умеет волт

о, вариант, спасибо. потестирую.

Ребзя, подскажите, может ли pod знать об external ip service?

Терраформ умеет волт

терраформ умееет postgresql...

Тебе волт надо или чо?

мне поудобней менеджить роли, штук 30 накопилось уже. И заодно попрактиковаться в волт не против.

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

Конечно, это же тайная группа по сбору персданных

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

ссылку вставил, тут так сходу нельзя, защита от спама.

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

@SinTeZoiD ^^^^

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

ссылки все убери и пости снова

в правилах чата же нет такого пункта (про использование ссылок). Может стоит добавить пунктик - ? Не использовать ссылки (для новичков) Думал ссылка на профиль в гитхабе не будет спамом

ссылки все убери и пости снова

Извольте, второй раз уже в лом клацать...

в правилах чата же нет такого пункта (про использование ссылок). Может стоит добавить пунктик - ? Не использовать ссылки (для новичков) Думал ссылка на профиль в гитхабе не будет спамом

у тебя ссылка на гитхаб в профиле есть

@kvaps спасибо за наводку с stunnel, оказалось то что мне нужно кстати если кто будет юзать в кубе, в конфинфайле есть неочевидная опция delay = yes | no которую в кубе стоит поставить в yes, чтобы он не кэшировал DNS-записи. А то я смотрю он пытается к убитым подам стучаться

@kvaps спасибо за наводку с stunnel, оказалось то что мне нужно кстати если кто будет юзать в кубе, в конфинфайле есть неочевидная опция delay = yes | no которую в кубе стоит поставить в yes, чтобы он не кэшировал DNS-записи. А то я смотрю он пытается к убитым подам стучаться

?

@kvaps спасибо за наводку с stunnel, оказалось то что мне нужно кстати если кто будет юзать в кубе, в конфинфайле есть неочевидная опция delay = yes | no которую в кубе стоит поставить в yes, чтобы он не кэшировал DNS-записи. А то я смотрю он пытается к убитым подам стучаться

все равно через полгодика на istio переходить :3

или на что-нибудь другое

какой-нибудь линкерд2 допилят может

или откроют для себя удивительный мир inferno, в котором надо еще постараться сделать так, что бы гонялся plan трафик

пытаюсь оттянуть неизбежное как могу..

> мир inferno звучит воодушевляюще

Товарищи, у кого несколько кластеров, чем контекст переключаете? Или алиасы к kubctl нафигачить? Как вы это лрганизовываете чтобы не запутаться?

direnv и делаю cd в папочку нужного кластера/неймспейса, ну а там лежат "файлики" соответственно values.yaml для чартов установленных в этом неймспейсе

У каждого кластера отдельный конфиг-файл в .kube, для работы с нужным кластером копирую его конфиг-файл в .kube/config. Если нужно разово запустить команду для другого кластера, то env KUBECONFIG=$HOME/.kube/config-file-name kubectl ... Мне так удобнее, чем иметь один большой .kube/config, переключать контексты и т.д.

вот примерно такое же, только в .envrc нужной папке прописана KUBECONFIG=<нужный путь к кубконфигу этого кластера>, NAMESPACE и т.п.

Там не реалтайм, там тупо получалка статистики.

statsd и иже с ними? если через публичную сеть по UDP к вам летит то это же не секурно

я в аналогичном случае завернул statsd UDP через telegraf который по хттпс с basic auth идет в influxdb пишет (ну и заодно буферизирует эту всю статистику и вместо пачки мелких запросов один прилетает)

ага, только они тебе интерпретатор поднимают под _каждый_ запрос

ПХП программисты тебя щас не поняли, иди пиши на го бинари! ну и на самом то деле это не так, там есть холодный старт а есть когда уже запущен контейнер.

statsd и иже с ними? если через публичную сеть по UDP к вам летит то это же не секурно

Кто сказал "публичная сеть". Уж сеть датацентра-то контролируется. Обд

Облако частное

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

ща поправим

Привет, написал о себе и пост сразу был удалён. Или это скрытая анкета?

Пиши еще раз)

ща поправим

Спасибо, может я люблю на грабли наступать... может не я один такой )

Спасибо, может я люблю на грабли наступать... может не я один такой )

у нас тут бот, который удаляет форварды и ссылки

это нормально

обычно боты и просят представится, чтобы не было молчунов

у нас есть приложение которое раздает игрокам, но оно спрашивает кубер об этом

а стейтфулсет тут не ложится? в каждый конкретный под можно ходить по ДНС и есть сервис который отдаст айпи всех подов

я не понимаю почему я должен плодить однотипные деплойменты когда достаточно просто увеличить количество реплик

потому что с точки зрения куба все реплики в деплойменте одинаковые и балансировка из сервиса идет round robin. Statefulset же предполагает что поды в нем разные и можно ходить в каждый отдельно. Ещё возможно это как-то разрулить через ингресс кстати, ингресс не юзает сервис а ходит в поды напрямую по айпи и возможно как-то можно вкрутить логику в ингресс в какой именно под идти запросу

как это ингрес не юзает сервис? там же настройка именно на сервис идет

как это ингрес не юзает сервис? там же настройка именно на сервис идет

он берёт оттуда ip подов

полезно иногда смотреть в ingress-controller nginx.conf

да вот полез это смотреть. не обращал внимание

Я насколько понял там контроллер понимает, что nginx сам балансер и нет смысла.

Cоздаю кластер с помощью kubeadm. В конфиге кубелета для kubeadm: clusterDNS: - "10.233.0.3"Но после создания кластера kube-dns сервис всегда висит на 10.233.0.10, а в подах в resolv.conf — 10.233.0.3. Как указать, чтобы kubeadm и kube-dns вешал на 10.233.0.3?

полезно иногда смотреть в ingress-controller nginx.conf

proxy_pass http://{здесь путь к сервису}

ща я полезу...

это важный вопрос!

да ты прав походу

там апстрим на апи пода

раньше 100% видел ip подов, сейчас вижу lua, ещё не докопался до конца.

238 upstream upstream_balancer { 1 server 0.0.0.1; # placeholder 2 3 balancer_by_lua_block { 4 balancer.balance() 5 } 6 7 keepalive 32; 8 9 }

да

тоже нашел

в связи с чем у меня вопрос

Readiness Probes он учитывает?

раньше 100% видел ip подов, сейчас вижу lua, ещё не докопался до конца.

обновил ингресс

это я понял... не стоит так кидать заявы, кубер активно обновляется.

https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/balancer.md на основе этого походу

раньше 100% видел ip подов, сейчас вижу lua, ещё не докопался до конца.

там же это флагом управляется

ERROR: S client not available

можно чтобы нжинкс ингресс юзал сервис можно чтобы нет

вот в случае игровых серверов можно чтобы нет и дальше уже на луа наколбасить логику

большенство ставит по-умолчанию. У кого не по-умолчанию, тот и так в курсе.

(этакий оператор для бедных)

так readiness probes если не через сервис получается чекаться не будут?

бекенды добавляюся динамически через http api, который реализует lua

https://github.com/kubernetes/ingress-nginx/blob/master/rootfs/etc/nginx/lua/configuration.lua#L84 их нет в конфигах сейчас

kubectl exec -n kube-system -it nginx-nginx-ingress-controller-kc49p curl localhost:18080/configuration/backends не знаю, динамический ли порт, потом гляну. Список беков.

ip подов. Можно выдохнуть.

оставьте низкий порог вхождения джаваскрипту

угу, а потом мейкфайлы на тысячи строк пишут

так readiness probes если не через сервис получается чекаться не будут?

хмм почему? нжинкс из сервиса будет айпи подов получать но траффик гнать напрямую на айпи пода а не через айпи сервиса

хмм почему? нжинкс из сервиса будет айпи подов получать но траффик гнать напрямую на айпи пода а не через айпи сервиса

Там судя по всему отдельный процесс чекает это и дергает api у nginx controller

хм. возможно, а ингресс через какой-то интервал конфиг обновляет?

угу, а потом мейкфайлы на тысячи строк пишут

джаваскриптеры они такие

хм. возможно, а ингресс через какой-то интервал конфиг обновляет?

ip нет в конфигах, я же написал. ему незачем обновлятся если поды выпадают

у меня есть. я не обновлял ингресс

а... ну да, он чекает ивенты, генерит конфиг и reload

https://github.com/kubernetes/ingress-nginx/blob/master/docs/how-it-works.md можно было не копаться в коде, все и так написано

братцы порекомендуйте какой-нить четкий приватный docker registry

хочу поднять

harbor хвалили

harbor

https://medium.com/virtuslab/think-twice-before-using-helm-25fbb18bc822

хороер, шо подкипел инженер, аж на medium.com прорвало

>Jul 10

ога, я только сейчас наткнулся, тут не видел

братцы порекомендуйте какой-нить четкий приватный docker registry

docker run registry?

+ gitlab рулить им

братцы порекомендуйте какой-нить четкий приватный docker registry

Gitlab >>jenkins >> private registry