Да, обещали запись, будет интересно

я на все посмотрел и решил что нафиг мне не нужен такой редис, в кубере пусть дохнет и перезапускается

а приложение же аффектится при этом ?

Ну вот они руками статические роуты прописывали на нодах, а для этого прекрасно bgp подходит.

Не прописывали они руками, я тут в чате обсуждение доклада поднимал. Flannel им прописывал

Ну то есть там рили просто, из настроек - ip пира и as, и всё, маршрутная информация поехала.

Зачем bgp в локальной сети на 10 машин? Из пушки по воробьям же

Не прописывали они руками, я тут в чате обсуждение доклада поднимал. Flannel им прописывал

Руками на внешних сервисах тоже прописывали

Руками на внешних сервисах тоже прописывали

Ну чтобы не nat'ится к подам?

Насколько я помню доклад Авито ещё год или два назад - у них там сеть офиса с сетью датацентра связана и много специфики

Если не ошибаюсь сервисы из куба видны в офисной сети

И тд

Зачем bgp в локальной сети на 10 машин? Из пушки по воробьям же

Это вопрос в духе "зачем конфигурейшон менеджмент на десяти серверах". Олсо, да нет же там никакой пушки.

Это вопрос в духе "зачем конфигурейшон менеджмент на десяти серверах". Олсо, да нет же там никакой пушки.

Это вопрос в духе "зачем ansible, когда сервер один, la на нем 0.1 и планов роста на ближайший год нет"

Да потому что просто по-человечески

(ну, за исключением того, что ансибл проклят и стоит взять что-то нормальное)

Я на самом деле хз как у вас, но меня неупорядоченность в работе просто убивает

Это вопрос в духе "зачем ansible, когда сервер один, la на нем 0.1 и планов роста на ближайший год нет"

Не надо только плес фантазий, речь про десять хостов, на которых надо поддерживать маршруты соответствующие. Это всё давным-давно делается с помощью динамической маршрутизации, которой все очень боятся пушо не понимают, как оно работает, хотя по факту боятся там совершенно нечего.

на десяти хостах можно и без динамической маршрутизации прекрасно жить

меньше сущностей

Это вопрос в духе "зачем ansible, когда сервер один, la на нем 0.1 и планов роста на ближайший год нет"

Если же фантазировать про ансибл, то тут два очевидных ответа - централизованное хранение конфигурации сервисов и её, например, версионирование. Что сильно упрощает повторное развёртываение сервера а) при его смерит и б) для целей тестирования, например.

Но я хз, стоит ли тут продолжать.

коллеги, гляньте плиз https://github.com/patsevanton/kubespray здесь применены исправления для установки kubernetes через прокси.

https://github.com/kubernetes-incubator/kubespray/pull/3596 вот здесь я правильно понимаю что нужен только апрув от разработчиков kubespray?

https://github.com/kubernetes-incubator/kubespray/pull/3596 вот здесь я правильно понимаю что нужен только апрув от разработчиков kubespray?

To fully approve this pull request, please assign additional approvers. We suggest the following additional approver: woopstar

нее там CI ругается

и docker pull похоже не подхватил прокси (

нее там CI ругается

Ога в том числе да

https://www.youtube.com/watch?v=fYy-FrjLX2s

Чел параноик, это хорошо :) не понял его пассаж про "нужен immutable configmap, значит будем использовать environment vars, они мол immutable". Возможно он как-то коряво объяснил идею.

envvars нельзя поменять снаружи в рантайме

я думаю про это

Ну так это ничем не отличается от " читаем файл при старте приложения один раз", как у них судя по коду и было

Приложение может быть не только от них

Они про свои говорят, патчили их чтобы перетащить на env vars

Хак про разные limits чтобы размазать OOMKiller по времени крутой :)

мне кажется для этого надо хакать репликасет контроллер

А vertical pod scaler не сможет это сделать?

не уверен

хороший кадр

Гугальнул: git-secret, git-crypt, Mozilla sops, bitnami sealed secrets operator

Поигрался сегодня с ними, в итоге выбрал git-crypt. Удобно то, что он не требует никаких дополнительных телодвижений. Один раз настроил .gitattributes, после чего все нужные файлы автоматически добавляются и шифруются прямо в git. Для Ksonnet я настроил фильтр на secrets.libsonnet Теперь если есть какие-то данные которые мне нужно зашифровать, я просто создаю secrets.libsonnet в environment затем делаю include его так-же как и globals.libsonnet.

Допустим, у тебя пять админов с тремя уровнями доступа. Получается, что у самых ответственных (и ссамых загруженных) будет три разных ключа, при использовании коих они будут сильно материться.

Как оказалось это тоже не проблема. В git-crypt можно иметь несколько ключей под каждый уровень доступа и шифровать их для разных пользователей: https://github.com/AGWA/git-crypt/blob/master/doc/multiple_keys.md

Поигрался сегодня с ними, в итоге выбрал git-crypt. Удобно то, что он не требует никаких дополнительных телодвижений. Один раз настроил .gitattributes, после чего все нужные файлы автоматически добавляются и шифруются прямо в git. Для Ksonnet я настроил фильтр на secrets.libsonnet Теперь если есть какие-то данные которые мне нужно зашифровать, я просто создаю secrets.libsonnet в environment затем делаю include его так-же как и globals.libsonnet.

Все равно религия не позволяет

Longhorn в проде кто-то использует?

https://github.com/rancher/longhorn/

https://github.com/rancher/longhorn/

Он вроде OpenEBS теперь

Он вроде OpenEBS теперь

судя по ридми, это самостоятельный проект

да и обновлялся недавно

судя по ридми, это самостоятельный проект

Ну да, просто судя по всему OpenEBS - это наиболее жизнеспособный его форк

Ой прикольно, он целиком на bash написан

#проклято даже не заглядывая в репозиторий

Не, походу я гоню, в репе кода то нет)

https://github.com/rancher/longhorn-engine - вот основная репа, таки на го