S
Size: a a a
2021 April 11
AS
это обмазывание слоев говна друг на друга
AS
лучше избежать
GG
:
привет всем,
а секреты не шарятся между неймспейсамы?
а секреты не шарятся между неймспейсамы?
:
нашел - нет
D
Юзаю managed кубер от digitalocean, последнее время воркер нода меняет статус в NotReady каждые ~24 часа. Поддержка "изучает проблему" уже 3 недели, пингую их, новости не сообщают. Кто то сталкивался?
https://gist.github.com/nnqq/91f939efa94a92a3c6ba89b9a374739e
UPD: нода умирает из за тысяч chrome процессов, но без родительского, создаваемых pupetter, возможно из за того что после убийства по OOM сервис не вырубает пупеттер корректно и остаются фантомные процессы хрома
k describe nodehttps://gist.github.com/nnqq/91f939efa94a92a3c6ba89b9a374739e
UPD: нода умирает из за тысяч chrome процессов, но без родительского, создаваемых pupetter, возможно из за того что после убийства по OOM сервис не вырубает пупеттер корректно и остаются фантомные процессы хрома
DS
тоже в среднем kubelet 16%
DS
context switch
DS
Билды на докере, кластера на containerd. Одно другому же не мешает
DS
а в евентах причины то какие пишет? Просто с kubelet связь пропадает?
D
я отредактировал gist, копипастнул весь describe, из странного вот:
Conditions:Ready False Sun, 11 Apr 2021 22:26:27 +0300 Sun, 11 Apr 2021 22:01:22 +0300 KubeletNotReady [container runtime is down, PLEG is not healthy: pleg was last seen active 25m35.233938732s ago; threshold is 3m0s]Events:
Warning ContainerGCFailed 41s (x25 over 24m) kubelet, pool-dma3v2ly6-8fvqk rpc error: code = Unavailable desc = connection error: desc = "transport: Error while dialing dial unix /run/containerd/containerd.sock: connect: connection refused"DS
В managed решениях, самый простой способ взять новую ноду и дропнуть эту. Печальное что-то там на ней происходит /run/containerd/containerd.sock: connect: connection refused
D
решение с пересозданием ноды то работает, но руками это делать каждый день уже надоело
DS
а там ноды же под вашим управлением? Может ресурсов не хватает так, что containerd отваливается? На ноду захоидили смотрели что там в целом по логам как себя чувствует?
DS
Вот это еще смущает Container Runtime Version: containerd://Unknown
D
воркер да, мастер у них, у меня его даже в списке нет
по панели никогда более 30% CPU и 40% оперативы не поднимается
задеплоены хобби проекты с 1 rps
по панели никогда более 30% CPU и 40% оперативы не поднимается
задеплоены хобби проекты с 1 rps
2021 April 12
c
Правильно. Учитывая что докер это дыра в безопасности Кубернетес https://nvd.nist.gov/vuln/detail/CVE-2019-5736
DS
так это уязвимость runc
HN
you should be able to now