Телеграмм чат группы kubernetes

rules:
  # Do not log from kube-system accounts
  - level: None
    userGroups:
    - system:serviceaccounts:kube-system
    - system:authenticated
  - level: None
    users:
    - system:apiserver
    - system:kube-scheduler
    - system:volume-scheduler
    - system:kube-controller-manager
    - system:node

2020-11-10 15:09:51  
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"d424ea88-ec06-4556-b067-f6e3bf25be72","stage":"ResponseComplete","requestURI":"/apis/coordination.k8s.io/v1/namespaces/kube-system/leases/kube-scheduler?timeout=10s","verb":"get","user":{"username":"system:kube-scheduler","groups":["system:authenticated"]},"sourceIPs":["10.118.12.20"],"userAgent":"kube-scheduler/v1.19.2 (linux/amd64) kubernetes/f574309/leader-election","objectRef":{"resource":"leases","namespace":"kube-system","name":"kube-scheduler","apiGroup":"coordination.k8s.io","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2020-11-10T12:09:51.066952Z","stageTimestamp":"2020-11-10T12:09:51.067804Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:kube-scheduler\" of ClusterRole \"system:kube-scheduler\" to User \"system:kube-scheduler\""}}

источник

15:10пожаловаться #7

Banschikov Denis in Kubernetes — русскоговорящее сообщество

Сергей Ладутько

Блин ну вот все равно он его видет

rules:
  # Do not log from kube-system accounts
  - level: None
    userGroups:
    - system:serviceaccounts:kube-system
    - system:authenticated
  - level: None
    users:
    - system:apiserver
    - system:kube-scheduler
    - system:volume-scheduler
    - system:kube-controller-manager
    - system:node

2020-11-10 15:09:51  
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"d424ea88-ec06-4556-b067-f6e3bf25be72","stage":"ResponseComplete","requestURI":"/apis/coordination.k8s.io/v1/namespaces/kube-system/leases/kube-scheduler?timeout=10s","verb":"get","user":{"username":"system:kube-scheduler","groups":["system:authenticated"]},"sourceIPs":["10.118.12.20"],"userAgent":"kube-scheduler/v1.19.2 (linux/amd64) kubernetes/f574309/leader-election","objectRef":{"resource":"leases","namespace":"kube-system","name":"kube-scheduler","apiGroup":"coordination.k8s.io","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2020-11-10T12:09:51.066952Z","stageTimestamp":"2020-11-10T12:09:51.067804Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:kube-scheduler\" of ClusterRole \"system:kube-scheduler\" to User \"system:kube-scheduler\""}}

я как понимаю ты изначально по этой доке настраивал?
https://partners-intl.aliyun.com/help/doc-detail/91406.htm

Aliyun

Use kube-apiserver to collect audit logs - User Guide for Kubernetes Clusters| Alibaba Cloud Documentation Center

You can query audit logs by using the following methods: Example 1: Alerts on command execution on containers

источник

15:23пожаловаться #8

СЛ

Сергей Ладутько... in Kubernetes — русскоговорящее сообщество

Banschikov Denis

я как понимаю ты изначально по этой доке настраивал?
https://partners-intl.aliyun.com/help/doc-detail/91406.htm

Aliyun

Use kube-apiserver to collect audit logs - User Guide for Kubernetes Clusters| Alibaba Cloud Documentation Center

You can query audit logs by using the following methods: Example 1: Alerts on command execution on containers

У фланта на эту ссылка
https://www.alibabacloud.com/help/doc-detail/91406.htm

Alibabacloud

Use kube-apiserver to collect audit logs - User Guide for Kubernetes Clusters| Alibaba Cloud Documentation Center

You can query audit logs by using the following methods: Example 1: Alerts on command execution on containers

источник

15:24пожаловаться #9

СЛ

Сергей Ладутько... in Kubernetes — русскоговорящее сообщество

https://habr.com/ru/company/flant/blog/468679/

Хабр

Азбука безопасности в Kubernetes: аутентификация, авторизация, аудит

Рано или поздно в эксплуатации любой системы встаёт вопрос безопасности: обеспечения аутентификации, разделения прав, аудита и других задач. Для Kubernetes уже...

источник

15:24пожаловаться #10

Jeison Mortyre in Kubernetes — русскоговорящее сообщество

всем привет. подскажите, как мне пробросить файлы с ноды в под, не создавай из них вручную конфиги или секреты. т.е. у меня на ноде в папке /etc/ssl/etcd/ssl/ лежат ssl ключи. я хочу что б прометей мог собирать метрики из controller, shceduler, api. для этого ему нужно указать серт, с которым он будет ходить. т.е. есть какой-то способ запустить под на подобии команды в докере docker run -d /etc/ssl/etcd/ssl/:/etc/ssl/etcd/ssl/

источник

15:30пожаловаться #11

Denis Lozhkin in Kubernetes — русскоговорящее сообщество

Jeison используй hostPath
https://kubernetes.io/docs/concepts/storage/volumes/

Kubernetes

Volumes

On-disk files in a container are ephemeral, which presents some problems for non-trivial applications when running in containers. One problem is the loss of files when a container crashes. The kubelet restarts the container but with a clean state. A second problem occurs when sharing files between containers running together in a Pod. The Kubernetes volume abstraction solves both of these problems. Familiarity with Pods is suggested.
Background Docker has a concept of volumes, though it is somewhat looser and less managed.

источник

15:31пожаловаться #12

Banschikov Denis in Kubernetes — русскоговорящее сообщество

Сергей Ладутько

Блин ну вот все равно он его видет

rules:
  # Do not log from kube-system accounts
  - level: None
    userGroups:
    - system:serviceaccounts:kube-system
    - system:authenticated
  - level: None
    users:
    - system:apiserver
    - system:kube-scheduler
    - system:volume-scheduler
    - system:kube-controller-manager
    - system:node

2020-11-10 15:09:51  
{"kind":"Event","apiVersion":"audit.k8s.io/v1","level":"Metadata","auditID":"d424ea88-ec06-4556-b067-f6e3bf25be72","stage":"ResponseComplete","requestURI":"/apis/coordination.k8s.io/v1/namespaces/kube-system/leases/kube-scheduler?timeout=10s","verb":"get","user":{"username":"system:kube-scheduler","groups":["system:authenticated"]},"sourceIPs":["10.118.12.20"],"userAgent":"kube-scheduler/v1.19.2 (linux/amd64) kubernetes/f574309/leader-election","objectRef":{"resource":"leases","namespace":"kube-system","name":"kube-scheduler","apiGroup":"coordination.k8s.io","apiVersion":"v1"},"responseStatus":{"metadata":{},"code":200},"requestReceivedTimestamp":"2020-11-10T12:09:51.066952Z","stageTimestamp":"2020-11-10T12:09:51.067804Z","annotations":{"authorization.k8s.io/decision":"allow","authorization.k8s.io/reason":"RBAC: allowed by ClusterRoleBinding \"system:kube-scheduler\" of ClusterRole \"system:kube-scheduler\" to User \"system:kube-scheduler\""}}

Странно, может видимо чего-то не хватает. Я уже сам не помню всех нюансов. Попробуй еще поковырять

источник

15:31пожаловаться #13

Jeison Mortyre in Kubernetes — русскоговорящее сообщество

Denis Lozhkin

Jeison используй hostPath
https://kubernetes.io/docs/concepts/storage/volumes/

Kubernetes

Volumes

спасибо

источник

15:34пожаловаться #14

Roman Gorodeckij in Kubernetes — русскоговорящее сообщество

может у кого есть values.yaml для nginx-ingress чарта? интересует проставленные реплики - у меня поды убиваются почему-то

источник

15:43пожаловаться #15

Roman Gorodeckij in Kubernetes — русскоговорящее сообщество

NGINX master process died (-1): signal: killed
-------------------------------------------------------------------------------
E1110 12:29:26.873900       6 controller.go:156] Unexpected failure reloading the backend:

источник

15:43пожаловаться #16

Roman Gorodeckij in Kubernetes — русскоговорящее сообщество

хотя реплики завелись и все везде ок а поды не поднимаются и падают. в deployment вот что:

Conditions:
  Type           Status  Reason
  ----           ------  ------
  Available      False   MinimumReplicasUnavailable
  Progressing    True    ReplicaSetUpdated
OldReplicaSets:  <none>
NewReplicaSet:   nginx-ingress-ingress-nginx-controller-7f6ff55d5d (3/3 replicas created)

источник

15:44пожаловаться #17

Roman Gorodeckij in Kubernetes — русскоговорящее сообщество

values.yaml:

controller:
    publishService:
        enabled: "true"
    config:
        use-forwarded-headers: "true"
    nodeSelector:
        doks.digitalocean.com/node-pool: nginx-ingress
    replicaCount: 3
    resources:
        limits:
          cpu: 10m
          memory: 20Mi
        requests:
          cpu: 10m
          memory: 20Mi

источник

15:46пожаловаться #18

Alexander Partsianka in Kubernetes — русскоговорящее сообщество

Привет всем. Кто какими аналогами helm пользуется ? На что стоит обратить внимание ?

источник

15:46пожаловаться #19

Sergey Monakhov in Kubernetes — русскоговорящее сообщество

Roman Gorodeckij

values.yaml:

controller:
    publishService:
        enabled: "true"
    config:
        use-forwarded-headers: "true"
    nodeSelector:
        doks.digitalocean.com/node-pool: nginx-ingress
    replicaCount: 3
    resources:
        limits:
          cpu: 10m
          memory: 20Mi
        requests:
          cpu: 10m
          memory: 20Mi

рама дайте больше, к вам оом приходит

источник

15:47пожаловаться #20