DS
Я же правильно понимаю что в облаке не будет проблемы с биллингом трафика между годами разных AZ?
Size: a a a
2020 November 05
DS
Я почему про кубер спрашиваю, чтобы в перспективе избавиться от вендор лока
L
Вечер добрый, вопрос возможно из разряда простых, но голову я себе уже сломал.
Дано новый кластер куба 1.19.2, и установка csi-rbd-plugin, через helm. При попытке создать pvc ругается на
Дано новый кластер куба 1.19.2, и установка csi-rbd-plugin, через helm. При попытке создать pvc ругается на
1 connection.go:186] GRPC error: rpc error: code = Aborted desc = an operation with the given Volume ID pvc-d21e3c59-3304-40b1-81ad-56aeccd2f135 already exists, может кто сталкивался с таким и знает куда капнуть? В истории чата аналогичный вопрос видел, но тогда на него ответа так и не дали.по ошибке сложно понять.
но похоже ругается, что в RBD уже есть диск с именем
pvc-d21e3c59-3304-40b1-81ad-56aeccd2f135
но похоже ругается, что в RBD уже есть диск с именем
pvc-d21e3c59-3304-40b1-81ad-56aeccd2f135
СЛ
раскоментарь
Так надо все 4 писать ?
G
Скорее всего дело в сети, а не в кубере
+
ИК
Народ а где-то на просторах интернета есть экспортер который кастомные кверики выполняет в БД и возвращает результат? Нашел только https://github.com/wrouesnel/postgres_exporter а он не поддерживает пользовательские кверики, только какие-то системные из
pg_ каталогов. Грустно жить ...
Он поддерживает же, там надо queries.yaml написать к нему и всё
GG
И как оно ?
k
неа, просто накинуль до кучи
AA
значит еще что-то осталось, что ты не тестировал для куба 😃
S
Он поддерживает же, там надо queries.yaml написать к нему и всё
Информативность его документации зашкаливает
GG
Информативность его документации зашкаливает
Попенсурс
TL
Я же правильно понимаю что в облаке не будет проблемы с биллингом трафика между годами разных AZ?
Проблем не будет. Сдерут с тебя три шкуры.
L
Сергей Ладутько
Так надо все 4 писать ?
Я уже писал, что должны совпадать хосты в секциях тлс и рулес.
Чтобы контроллер понял для каких хостов тебе https хочется
Чтобы контроллер понял для каких хостов тебе https хочется
СЛ
k
Я тут обнаружил что серты кубелетам выдают сами кубелеты o__O
openssl s_client -connect m11c5:10250 | grep issu -i
issuer=CN = m11c5-ca@1583314453
В общем я тут немного упрлс и попытался понять как кубелеты сертификаты получают, те самые на которые слушают:
k
Переслано от kvaps
Так, я кажись понял.
Кубелеты генерят сертификаты используя свои собственные CA, так как при джойне ноды apiserver в принципе не может гарантировать, что нода, которая джойнится, это та самая нода, а не какой-то левак с тем же именем и токеном доступа к кластеру.
По сути kubeadm-токен может гарантировать ноде что она джойнится к нужному api-server'у, но никак не наоборот.
В связи с этим был придуман механизм csr, т.е. каждому кубелету достаточно добавить в конфиг
после аппрува, кубелет получает свой собственный сертификат подписанный CA apiserver'а
Кубелеты генерят сертификаты используя свои собственные CA, так как при джойне ноды apiserver в принципе не может гарантировать, что нода, которая джойнится, это та самая нода, а не какой-то левак с тем же именем и токеном доступа к кластеру.
По сути kubeadm-токен может гарантировать ноде что она джойнится к нужному api-server'у, но никак не наоборот.
В связи с этим был придуман механизм csr, т.е. каждому кубелету достаточно добавить в конфиг
serverTLSBootstrap: trueи после джойна в кластер он непременно запросит новый сертификат.
kubectl get csr- отобразить все запросы
kubectl certificate approve <some-request>- заапрувить
после аппрува, кубелет получает свой собственный сертификат подписанный CA apiserver'а
k
k
Переслано от kvaps
- зачем кубелетам в принципе нужен сертификат подписанный основным CA?
*для метрик-сервера конечно, но может для чего-то ещё?*
*для метрик-сервера конечно, но может для чего-то ещё?*