Ладно там afinity node хоть как параметр - все вытащить можно - вопрос только один - там федерацию хотят в ТЗ ?

народ, а как то можно через kubectl получить audit logs из EKS?

юзаю werf, но он пока требует docker. Обещают реализовать сборку без него, как в kaniko, buildah.
Есть еще makisu, bazel и от opensift свое что-то.
Tekton же CI просто, оно скорее всего внутри будет использовать тот же самый kaniko и подобное.

buildpacks есть

Я понимаю, что эта тема чутка отходит от куба, тем не менее результат должен быть - "апка в кубе"...от того и пытаюсь найти решение, чтобы дэвы не парились с докерафайлами и смотрю в сторону buildpacks/s2i и тд

Канико насколько я понимаю до сих пор в рутлесс не умеет

+++

В кубсфере s2i оператор кстати используется и ты можешь сам тимплейты создавать под нужны код language...от того у тебя выходит удобная консоль, в каком-то плане даже удобнее шифта...и дэвы могут себе легко создать конт и пихнуть в куб.

+ у тебя ваниль и не нужно держать пожирающий всё и вся шифт )

с другой стороны, поэтому и спрашиваю здесь, норм ли это практика юзать такие тулзы..

ну мне s2i не нра

такое ощущение, что он непредсказуем

мне он концептуально не нравится

рутлесс эт как?

Как я понял redinessProbe у тебя уж есть?
Там смотри помимо redinessProbe есть какой нюанс.

Когда ты или любой другой контроллер удаляет pod в кластере, k8s помечает его на удаление и одновременно начинает процедуру удаления пода и удаление его из endpoints сервисов, это видят другие контроллеры и запускают свои процедуры независимо друг от друга. При этом надо понимать, что удаление ip из endpoints не означает, что kube-proxy моментально почистит его на хостах, а ingress-controller моментально его удалит из upstream'ов

То есть это делают разные контроллеры, и делают это параллельно.
1) Удаление ip из endpoints (забыл какой контроллер это делает)
2) kube-proxy начинает чистить iptables/ipvs от ip пода на всех нодах, только когда увидит что он пропал из endpoints
3) ingress-controller удаляет ip пода из upstream, только когда увидит что он пропал из endpoints
4) kubelet начниет процедуру удаленя пода - кидает TERM контейнерам и тому подобное

И даже если у тебя есть redinessProbe и твое приложение умеет в graceful shutdown. Ты можешь словить такую ситуацию:

Предположем что твое приложение умеет в graceful. Оно получает SIGTERM, отказывается принимать новые запросы и шлет их лесом, завершает текущие запросы и выключается. Но когда приложение уже отказалось принимать новые запросы, из ipvs/iptables правил и upstream'ов оно могло еще не успеть удалится, поэтому нет гарантии что в этот момент к нему не прилетят новые запросы. Тем более если твое приложение не умеет в graceful shutdown, то запросы просто уйдут в никуда.

Для решения этой проблемы ты можешь добавить, в preStop хук контейнера небольшой sleep, чтобы на всякий случай не много подождать когда kube-proxy почистит правила iptables/ipvs на хостах.

Пример:

lifecycle:
            preStop:
              exec:
                command:
                  - sh
                  - -c
                  - 'sleep 10'

Эта увиличит шанс того, что когда твое приложение получит SIGTERM, kube-proxy успеет все почистить на нодах. А твое приложение будет успешно принимать запросы пока это не произошло, и только через 10 секунд получит SIGTERM, когда уже скорее всего будет выкинуто из правил iptables/ipvs и upstream'ов ingress-controller

Мог конечно просто написать, добавь sleep в preStop. Но так надеюсь понятней зачем это делать.

а, понял

lifecycle:
            preStop:
              exec:
                command:
                  - sh
                  - -c
                  - 'sleep 10'

спасибо, буду пробовать

У вас какой то комбайн из языков?

нет, не особо