а какой транспортиспользуется?

ну и желательно конфиг посмотреть

smtp

фланель можно под системд вообще запустить

все дело в TLS, надо слать через 587 порт почту

smtp_smarthost: 'smtp.yandex.ru:587'

починилось?

да

завтра попробую телеграм подключить

а он что, в логи не писал?

в логи про почту ни строчки

принцип - пуля вылетела, проблемы на вашей стороне

@sclif13 возможно нужно было включить verbose logging

verbose не нашел, но включал-log.level=debug

я это и имел в виду

там что-нибудь показывал?

на счет почты ничего, только 2016-10-25T14:23:37.817262708Z time="2016-10-25T14:23:37Z" level=debug msg="Received alert" alert=NodeMemoryUsage[1e1e79e][resolved] component=dispatcher source="dispatch.go:160"

мне по факту нужен простой в сетапе и стабильный vxlan, но как-то не вижу я счастья пока особо, с weave тоже наелся уже

С vxlan сложно. Надо очень свежие 10g карточки. Иначе все будет грустно

Это если трафика много

Это если трафика много

Много - это сколько?

да хотя бы 1gb.

а на 100mb можно и vxlan

даже нужно. не userspace же использовать

iperf у меня в виртуалке: vxlan: [ 3] local 10.1.67.0 port 57524 connected with 10.1.14.0 port 12345 [ ID] Interval Transfer Bandwidth [ 3] 0.0-30.0 sec 4.85 GBytes 1.39 Gbits/sec ethernet: [ 3] local 192.168.122.117 port 59942 connected with 192.168.122.224 port 12345 [ ID] Interval Transfer Bandwidth [ 3] 0.0-30.0 sec 24.3 GBytes 6.95 Gbits/sec

kvm в chromebook

kvm в chromebook?

iperf у меня в виртуалке: vxlan: [ 3] local 10.1.67.0 port 57524 connected with 10.1.14.0 port 12345 [ ID] Interval Transfer Bandwidth [ 3] 0.0-30.0 sec 4.85 GBytes 1.39 Gbits/sec ethernet: [ 3] local 192.168.122.117 port 59942 connected with 192.168.122.224 port 12345 [ ID] Interval Transfer Bandwidth [ 3] 0.0-30.0 sec 24.3 GBytes 6.95 Gbits/sec

Мало.

@idvoretskyi да. за это он мне и нравится

Ядро пересобирал?

нет. обычный дистрибутив linux поставил

А, так неинтересно

У меня стоит в дуалбуте, но не запускаю

ChromeOS хватает с головой

kvm нет )

docker'а того же

На лаптопе не вижу необходимости

Все есть удаленно

у меня этот лаптом рабочая лошадка

У меня тоже)

Основной и единственный девайс

SSH и домашняя/рабочая лабы решают все вопросы

как так то NAME STATUS VOLUME CAPACITY pg-claim Bound gfs-local 100Gi srv-claim Pending kind: PersistentVolume ... spec: capacity: storage: 100Gi kind: PersistentVolumeClaim ... resources: requests: storage: 20Gi Один claim на 20 и второй на 20

persistent volume неделим, насколько знаю

кубернетес имеет право захватить volume большего размера, чем указано в claim

поэтому у тебя вся сотня уходит одному потребителю

привет всем! а как происходит service discovery в системе, где установлен kubernetes?

блин, ну документация же http://kubernetes.io/docs/user-guide/services/

блин, ну документация же http://kubernetes.io/docs/user-guide/services/

спасибо!

блин, ну документация же http://kubernetes.io/docs/user-guide/services/

как я понял, при старте контейнера в переменные среды кубернет передает адреса сервисов, от которых зависит контейнер а в случае, если сервисы по данным адресам умерли, но живы их реплики, как быть?

использовать dns, а не переменные окружения. это написано там же, но ниже.

все, прочел, спасибо) имена сервисов, получается, лучше тоже передать через переменные среды, верно?

не конкретные IP, а названия сервисов, типа 'nats'

https://www.coursera.org/learn/cloud-networking/home/welcome - первый и единственный курс, за который заплатил на курсере. Минус - "преподы" халявят и много на самостоятельное изучение, сами они больше воду в видосах льют

@kay_rus а есть walkthrough по исходникам kubernetes?

@kay_rus а есть walkthrough по исходникам kubernetes?

это как?

"Вот папка server - тут методы, которые отвечают за cluster-info. Мы заюзали шаблон проектирования директирование."

что-что, прости?

В идеале - типа такого http://backbonejs.org/docs/backbone.html

не встречал. мой метод прост. grep, vim, grep, vim

А где лежит код, который работает с etcd на тему "у нас кластер"

но если что-то серьезное нужно анализировать, то голова начинает пухнуть, т.к. слишком много переменных нужно в голове держать. наверняка должны быть какие-то утилиты с автоматическими jump'ами по функциям, историей и т.п.

но т.к. это не основной род моих занятий, то я просто vim-grep'аю

Ясно. Я всё хочу раскурить как там кластер работает. Решил через исходники пойти.

кластер?

что в твоем понимании кластер? api federation?

Две машины, для начала

ERROR: S client not available

Без вагранта и пре-подготовленных образов чтобы собрать две машины и они бы показали что две ноды доступно.

запускается etcd (не важно где), затем apiserver на master. apiserver работает с etcd. на worker'ах запускается kubelet, в котором указано где живет apiserver и с каким паролем с ним нужно общаться. а дальше уже идет общение kubelet<->apiserver. etcd используется только как persistent хранилище.

вот чего я точно не встречал и что пригодилось бы многим - как поднять безопасный kubernetes кластер

по умолчанию kubernetes всё наружу выставляет как дешевая проститутка.

вот чего я точно не встречал и что пригодилось бы многим - как поднять безопасный kubernetes кластер

там есть же обзорный мануал про сертификаты и все такое

этого не достаточно

там про admission мало информации

admission - это более высокий уровень. я же говорю про низкоуровневые фишки.

а про аутентификацию пользователей в сервисах и про аутентификацию сервисов друг у друга есть

@spuzirev ^ опять не то. см. выше.

куда уж ниже уровень?

ниже сеть

firewall

и дефолтные настройки

фаервол для контейнеров или для охраны хостов?

я уже сутки голову ломаю над решением проблемы открытых портов на системах, где всего один публичный интерфейс

второе не задача k8s

а должно быть

@kay_rus thanks за описание

я уже сутки голову ломаю над решением проблемы открытых портов на системах, где всего один публичный интерфейс

а подробности можно? стало интересно

я подозревал, что многие будут утверждать что это не проблема k8s

но практика показывает, что либо костыли городить -либо всё встроить в kube-proxy

ну скажем есть vm или baremetal который подключен к интернету без firewall.

ограничивать контейнеры друг от друга, ограничивать контейнеры от мира, от сервисов - это задача k8s. делать фаервол хоста - явно нет.

и у него всего один интерфейс

предположим k8s работает с дефолтными настройками.

у нас есть мониторинг и все дела

и тут получается, что наружу смотрит следующее: * http://host:10252/configz * http://host:10252/debug/pprof/heap * http://host:10251/configz * http://host:10251/debug/pprof/heap * http://host:10255/metrics * http://host:4194 * ну и самая мякотка https://host:10250 о которой я давно писал https://github.com/kayrus/kubelet-exploit и вот дилемма. если какие-то сервисы безболезненно завернуть в firewall, то другие, например мониторинг, просто так не завернешь - тебе придется знать ip нод, на которых живет prometheus. если 10250 повесить на localhost, и запилить ssh, то перестанут работать kubectl exec и kubectl logs. и что самое страшное - о всех этих проблемах известно давно еще с 2015 года. и никто не хочет это фиксить. а если предложить решение, то оно превращается во флейм.

потому наиболее правильное решение внедрить логику firewall'а в kube-proxy

т.к. он работает с api и знает всё обо всех

имхо конечно

"делать фаервол хоста - явно нет." - а best practices? Судя по @kay_rus best practices - идите в Google Cloud.