Подскажите плиз, кто юзает операторы Maistra для развёртывания Istio в Openshift. Сделал всё по доке развернул Istio , Kiali и.т.д. Указал ServiceMeshMemberRoll для нужного namespace , в Kiali вижу всё ок. Но вот sidecar не цепляется , уже и пробовал в анотацию деплоймента добавить sidecar.istio.io/inject: "true", но нифига

это в 4ке? в 3.11 нужно вебхук и правка в мастер конфиге.

А ок, спасибо . Про хук в 3.11 совсем забыл

Странно , сделал всё как по доке, в логах инжектора вижу следующее :

2019-11-01T07:06:23.991985Z     info    AdmissionReview for Kind=/v1, Kind=Pod Namespace=dev Name= (sortline-emulator-7455856878-***** (actual name not yet known)) UID=1d5503ea-fc76-11e9-84c9-005056a4ca9d Rfc6902PatchOperation=CREATE UserInfo={system:serviceaccount:kube-system:replicaset-controller b664c43e-fa33-11e9-a313-005056a4b6f0 [system:serviceaccounts system:serviceaccounts:kube-system system:authenticated] map[]}
2019-11-01T07:06:23.997038Z     info    AdmissionResponse: patch=[{"op":"add","path":"/spec/initContainers","value":[{"name":"istio-init","image":"docker.io/maistra/proxy-init-centos7:1.0.0","args":["-p","15001","-u","1000290001","-m","REDIRECT","-i","*","-x","","-b","8081","-d","15020"],"resources":{"limits":{"cpu":"100m","memory":"50Mi"},"requests":{"cpu":"10m","memory":"10Mi"}},"imagePullPolicy":"IfNotPresent","securityContext":{"capabilities":{"add":["NET_ADMIN"]},"privileged":true,"runAsUser":0,"runAsNonRoot":false}}]},{"op":"add","path":"/spec/containers/-","value":{"name":"istio-proxy","image":"docker.io/maistra/proxyv2-ubi8:1.0.0","args":["proxy","sidecar","--domain","$(POD_NAMESPACE).svc.cluster.local","--configPath","/etc/istio/proxy","--binaryPath","/usr/local/bin/envoy","--serviceCluster","sortline-emulator.$(POD_NAMESPACE)","--drainDuration","45s","--parentShutdownDuration","1m0s","--discoveryAddress","istio-pilot.istio-system:15010","--zipkinAddress","zipkin.istio-system:9411","--connectTimeout","10s","--proxyAdminPort","15000","--concurrency","2","--controlPlaneAuthPolicy","NONE","--statusPort","15020","--applicationPorts","8081"],"ports":[{"name":"http-envoy-prom","containerPort":15090,"protocol":"TCP"}],"env":[{"name":"POD_NAME","valueFrom":{"fieldRef":{"fieldPath":"metadata.name"}}},{"name":"POD_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}},{"name":"INSTANCE_IP","valueFrom":{"fieldRef":{"fieldPath":"status.podIP"}}},{"name":"ISTIO_META_POD_NAME","valueFrom":{"fieldRef":{"fieldPath":"metadata.name"}}},{"name":"ISTIO_META_CONFIG_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}},{"name":"ISTIO_META_INTERCEPTION_MODE","value":"REDIRECT"},{"name":"ISTIO_METAJSON_ANNOTATIONS","value":"{\"openshift.io/scc\":\"restricted\",\"sidecar.istio.io/inject\":\"true\"}\n"},{"name":"ISTIO_METAJSON_LABELS","value":"{\"app\":\"sortline-emulator\",\"pod-template-hash\":\"3011412434\",\"version\":\"1.0.0\"}\n"}],"resources":{"limits":{"cpu":"500m","memory":"128Mi"},"requests":{"cpu":"100m","memory":"128Mi"}},"volumeMounts":[{"name":"istio-envoy","mountPath":"/etc/istio/proxy"},{"name":"istio-certs","readOnly":true,"mountPath":"/etc/certs/"},{"name":"default-token-vslhd","readOnly":true,"mountPath":"/var/run/secrets/kubernetes.io/serviceaccount"}],"readinessProbe":{"httpGet":{"path":"/healthz/ready","port":15020},"initialDelaySeconds":1,"periodSeconds":2,"failureThreshold":30},"imagePullPolicy":"IfNotPresent","securityContext":{"capabilities":{"drop":["KILL","SETUID","SETGID","MKNOD"]},"runAsUser":1000290001,"readOnlyRootFilesystem":true}}},{"op":"add","path":"/spec/volumes/-","value":{"name":"istio-envoy","emptyDir":{"medium":"Memory"}}},{"op":"add","path":"/spec/volumes/-","value":{"name":"istio-certs","secret":{"secretName":"istio.default","optional":true}}},{"op":"add","path":"/spec/securityContext","value":{"seLinuxOptions":{"level":"s0:c17,c9"},"fsGroup":1000290000}},{"op":"add","path":"/metadata/annotations/sidecar.istio.io~1status","value":"{\"version\":\"6b04e85739f1403fffb8d884c85399b611f4221a74088a66f82345eb79a64ec8\",\"initContainers\":[\"istio-init\"],\"containers\":[\"istio-proxy\"],\"volumes\":[\"istio-envoy\",\"istio-certs\"],\"imagePullSecrets\":null}"}]

При этом под деплоймент есть пода нет аннотация есть sidecar.istio.io/inject=true , пишет   ReplicaFailure   True    FailedCreate
в describe деплоймента

нашёл причину

["NET_ADMIN"]},"privileged":true,"runAsUser":0,"runAsNonRoot":false}}]}

Дык, что получается :) что кто юзает istio разрешает контейнерам стартовать из под рута? ))) насколько я знаю сайдкару нужен рут , чтобы рулить iptables :)

Всё разобрался )

Коллеги, всем привет, Подскажите пожалуйста, какие настройки для логирования крутить, чтобы он не пытался отожрать на инстанс всю память? Сейчас в настройках:

## Logging
openshift_logging_install_logging: true
openshift_logging_es_ops_nodeselector: {"node-role.kubernetes.io/infra":"true"}
openshift_logging_es_nodeselector: {"node-role.kubernetes.io/infra":"true"}

В логах es-master  показывается, что 10 нод не соотвествует лейблу, у 7 не хватает памяти.
При этом реквест памяти стоит на уровне памяти одной инфра ноде (т.е. 16 гигов). Что за дичь творится и что с этим сделать?)

Так проблема решилась, когда я урезал еластик мастер по памяти. Теперь вопрос, как это задать в инвентаре, чтобы он не охуевши пытался сожрать все?

openshift_logging_es_memory_limit

тут вродебы

спасибо, попробую

🤔получается у меня был баг т.к. в алл-ин-ан он скушал 1-2 гига и было ок

## Logging
openshift_logging_install_logging: true
openshift_logging_es_ops_nodeselector: {"node-role.kubernetes.io/infra":"true"}
openshift_logging_es_nodeselector: {"node-role.kubernetes.io/infra":"true"}

https://github.com/openshift/openshift-ansible/blob/release-3.11/roles/openshift_logging/defaults/main.yml#L23
см. другие openshift_logging_*_memory_limit

Коллеги, подскажите plz, что может быть. Развернули ocp4.2 все норм, но через пару часов начались сыпаться ошибки:

prometheus-adapter-df7d6b54f-r8rf8:
0/5 nodes are available: 2 Insufficient cpu, 3 node(s) had taints that the pod didn't tolerate.

Это только на operatore - monitoring

monitoring                                 4.2.2     False       True          True       112m