В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Kubernetes — русскоговорящее сообщество

5333 membersпожаловаться на группу
2020 September 24

S

Stefan in Kubernetes — русскоговорящее сообщество
доброе утро, а кто-то наблюдал в клсатере EKS ситуацию, когда все сервисы работают, но внутри подов ооооочень долго исполняются команды, например apt-get install или запуск скрипта приложения?
EKS полностью приватный, доступ к нему через ВПН
не понятно одно, то-ли эта проблема из-за ВПН, то-ли из-за лимитов на использование CPU
источник
08:12пожаловаться#1

GG

George Gaál in Kubernetes — русскоговорящее сообщество
А скорее всего из-за того и того
источник
08:14пожаловаться#2

k

kvaps in Kubernetes — русскоговорящее сообщество
George Gaál
Это нельзя собрать из говна и палок на базе какого-нибудь nginx с lua ?
Нет, как ты будешь реквесты из apiserver в прокси заворачивать?

Вот стучится он у тебя на https://certmanager-webhook.cert-manager.svc/validate как ты заставишь его через проксю идти?
источник
08:35пожаловаться#3

k

kvaps in Kubernetes — русскоговорящее сообщество
Да и зачем, если есть официальный путь, который уже работает
источник
08:35пожаловаться#4

GG

George Gaál in Kubernetes — русскоговорящее сообщество
kvaps
Нет, как ты будешь реквесты из apiserver в прокси заворачивать?

Вот стучится он у тебя на https://certmanager-webhook.cert-manager.svc/validate как ты заставишь его через проксю идти?
Так же как энвой работает ? В истио ?
источник
08:35пожаловаться#5

GG

George Gaál in Kubernetes — русскоговорящее сообщество
kvaps
Да и зачем, если есть официальный путь, который уже работает
Он необязательно «правильный»
источник
08:35пожаловаться#6

k

kvaps in Kubernetes — русскоговорящее сообщество
George Gaál
Так же как энвой работает ? В истио ?
Он сайдкаром инжектит iptables правило в контейнер, для этого как минимум нужен рут и NET_ADMIN
источник
08:36пожаловаться#7

4

4c74356b41 in Kubernetes — русскоговорящее сообщество
kvaps
Он сайдкаром инжектит iptables правило в контейнер, для этого как минимум нужен рут и NET_ADMIN
или истио cni
источник
08:37пожаловаться#8

k

kvaps in Kubernetes — русскоговорящее сообщество
George Gaál
Он необязательно «правильный»
Имхо, для меня что ни на есть правильный путь, т.к. я бы реализовал его также.

Необходимость устанавливать подключения от кластера к api-server обусловдена тем что воркер-ноды вообще за натом могут работать и даже если ты поднимешь какой-нибудь прокси на воркерах то ты до него не достучишься
источник
08:39пожаловаться#9

GG

George Gaál in Kubernetes — русскоговорящее сообщество
kvaps
Имхо, для меня что ни на есть правильный путь, т.к. я бы реализовал его также.

Необходимость устанавливать подключения от кластера к api-server обусловдена тем что воркер-ноды вообще за натом могут работать и даже если ты поднимешь какой-нибудь прокси на воркерах то ты до него не достучишься
От прокси зависит, очевидно
источник
08:41пожаловаться#10

GG

George Gaál in Kubernetes — русскоговорящее сообщество
Хоть обратный ссш туннель
источник
08:41пожаловаться#11

S

Stefan in Kubernetes — русскоговорящее сообщество
George Gaál
А скорее всего из-за того и того
тогда спрошу иначе, правильно-ли я понимаю

offers-inventarization-rel-f7d8cdf8f-qt8ts 0.00631
есть такое значение потребления CPU подом
мониторится такой кверей:
sum(rate(container_cpu_usage_seconds_total{namespace=~"$namespace",container_name!~"POD",job=~"$cadvisor"}[5m])) by (pod)

я правильно понимаю, что его потребление настолько мизерное, что даже не занимает 1Mi(миликор)? то есть если бы было 0.06, то это было бы 60Mi, 0.6(600Mi)?
источник
08:42пожаловаться#12

k

kvaps in Kubernetes — русскоговорящее сообщество
George Gaál
Хоть обратный ссш туннель
Ты удивишься, но куб умел в ssh-тунели
https://kubernetes.io/docs/concepts/architecture/control-plane-node-communication/#ssh-tunnels
Kubernetes
Control Plane-Node Communication
This document catalogs the communication paths between the control plane (really the apiserver) and the Kubernetes cluster. The intent is to allow users to customize their installation to harden the network configuration such that the cluster can be run on an untrusted network (or on fully public IPs on a cloud provider).
Node to Control Plane Kubernetes has a "hub-and-spoke" API pattern. All API usage from nodes (or the pods they run) terminate at the apiserver (none of the other control plane components are designed to expose remote services).
источник
08:42пожаловаться#13

GG

George Gaál in Kubernetes — русскоговорящее сообщество
Stefan
тогда спрошу иначе, правильно-ли я понимаю

offers-inventarization-rel-f7d8cdf8f-qt8ts 0.00631
есть такое значение потребления CPU подом
мониторится такой кверей:
sum(rate(container_cpu_usage_seconds_total{namespace=~"$namespace",container_name!~"POD",job=~"$cadvisor"}[5m])) by (pod)

я правильно понимаю, что его потребление настолько мизерное, что даже не занимает 1Mi(миликор)? то есть если бы было 0.06, то это было бы 60Mi, 0.6(600Mi)?
Троттлинг смотри
источник
08:42пожаловаться#14

GG

George Gaál in Kubernetes — русскоговорящее сообщество
kvaps
Ты удивишься, но куб умел в ssh-тунели
https://kubernetes.io/docs/concepts/architecture/control-plane-node-communication/#ssh-tunnels
Kubernetes
Control Plane-Node Communication
This document catalogs the communication paths between the control plane (really the apiserver) and the Kubernetes cluster. The intent is to allow users to customize their installation to harden the network configuration such that the cluster can be run on an untrusted network (or on fully public IPs on a cloud provider).
Node to Control Plane Kubernetes has a "hub-and-spoke" API pattern. All API usage from nodes (or the pods they run) terminate at the apiserver (none of the other control plane components are designed to expose remote services).
Ну, да, со слов гугла конективити ссш туннели депрекейтят как раз
источник
08:46пожаловаться#15

S

Stefan in Kubernetes — русскоговорящее сообщество
George Gaál
Троттлинг смотри
container_cpu_cfs_throttled_seconds_total
эта метрика?
источник
08:52пожаловаться#16

GG

George Gaál in Kubernetes — русскоговорящее сообщество
Вроде
источник
08:52пожаловаться#17

S

Stefan in Kubernetes — русскоговорящее сообщество
George Gaál
Вроде
я так понимаю оно выводит количество часов/дней/недель сколько тротлится под?
источник
08:52пожаловаться#18

k

kvaps in Kubernetes — русскоговорящее сообщество
А ещё я узнал о такой возможности куба как временные сервистокены
источник
08:54пожаловаться#19

k

kvaps in Kubernetes — русскоговорящее сообщество
То есть когда сервис токен выдаётся не на всегда, а на определенное время, и автоматически обновляется раз в n часов
источник
08:55пожаловаться#20