172 похожих чатов

Что реально никто не мониторит доступность апи кубера?))

58 ответов

145 просмотров

Нафига? Кубе прометеус стек есть же. Никто же не добавляет себе в кластер единую точку отказа в виде хапркси

Владимир-Муковоз Автор вопроса
Lucky SB
Нафига? Кубе прометеус стек есть же. Никто же не д...

а какая у тебя единая точка отказа?, мастер?))

Владимир-Муковоз Автор вопроса
Lucky SB
Датацентр

промашка, у меня несколько дц и нет единой точки отказа

Владимир-Муковоз Автор вопроса
Lucky SB
Есть. Твой балансировщик на хапрокси

у меня несколько балансировщиков на хапрокси в разных ДЦ, и они между собой делять ip по которому и обращается всё к апи кубера, один балансировщик упал, этот ip забрал другой

Владимир-Муковоз Автор вопроса
Владимир Муковоз
у меня несколько балансировщиков на хапрокси в раз...

и всё это в целом работает хорошо, но хочется ещё на всякий случай это мониторить), вот интересно кто как это делает

Владимир-Муковоз Автор вопроса
Lucky SB
Есть. Твой балансировщик на хапрокси

а если у тебя нет балансировщика в виде хапрокси или чего-то иного, то значит ты указал в апи ip мастера, который упав полождит всё, вот и единая точка отказа

Владимир Муковоз
а если у тебя нет балансировщика в виде хапрокси и...

Хм. У меня на каждом из узлов свой балансировщик. Упадет балансировщик - из кластера один только узел пропадет. Прометей Алерт пришлет.

Владимир-Муковоз Автор вопроса
Владимир Муковоз
о каком балансировщике речь?

Ну конкретно у меня там nginx. Но это не важно. Главное, что их много.

Владимир-Муковоз Автор вопроса
Lucky SB
Ну конкретно у меня там nginx. Но это не важно. Гл...

я не про ингресс сейчас говорю, а ощущение что Вы о нём подумали

Владимир-Муковоз Автор вопроса
Lucky SB
127.0.0.1:6443

ммм))), интересно), почему я о таком раньше не думал))

Владимир Муковоз
ммм))), интересно), почему я о таком раньше не дум...

Потому что кубспреем ни разу кластер не ставил ))

Владимир-Муковоз Автор вопроса
Lucky SB
Потому что кубспреем ни разу кластер не ставил ))

ставил, это мой первый опыт) Потом начал стаивть кубадмином))

Владимир-Муковоз Автор вопроса
Lucky SB
Ну вот. Он так делает

Мне надо сейчас с этой мыслью переспать)), в целом идея интересная))

Я мониторю в т.ч. тупо состояния подов. Если каво-чиво важное не Running или за N-времени много рестартов - алерт.

Владимир Муковоз
Мне надо сейчас с этой мыслью переспать)), в целом...

я все же предпочитаю давать имя и потом прописать его в hosts на 127.0.0.1 для воркеров . Так и конфиги получаются с нормальным адресом к которому можно обратится итд итп.

Владимир-Муковоз Автор вопроса
Lucky SB
127.0.0.1:6443

а такой ip не вызывает конфликтов?, в смысле к нему никто не обращается из под контейнера например, там ведь этот адрес будет восприниматься как локальный

Владимир Муковоз
а такой ip не вызывает конфликтов?, в смысле к нем...

kubelet на хосте работает все системные компоненты с hostNetwork: true ну надо разумеется в SAN сертификатов добавить 127.0.0.1

в kubeadm конфиге, и фазу сертов запустить

Владимир-Муковоз Автор вопроса
Dmitry Sergeev 🇺🇦
в kubeadm конфиге, и фазу сертов запустить

я про этот конфиг и мел ввиду, а фазу сертов это в смысле kubeadm certs renew all

Dmitry Sergeev 🇺🇦
kubelet на хосте работает все системные компоненты...

а точно надо ? Там же вроде только X509v3 Subject Alternative Name: DNS:cicd-kub-control-01, DNS:kub-lb-api.ci-cd.loc, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:10.xxx.xxx.1, IP Address:10.xxx.xx.41 и вроде как само

Владимир Муковоз
а такой ip не вызывает конфликтов?, в смысле к нем...

К нему обращается только кубелет И кубпрокси, который запущен в режиме хостнетворк. Все обычные поды обращаются к апи через адрес куб-сервиса kubernetes.default

Владимир-Муковоз Автор вопроса
Dmitry Sergeev 🇺🇦
нет, вроде там была kubeadm init phase certs apise...

Мне команда говорит что серты есть и будут использованы старые, мне что сначала удалить старые?

Владимир-Муковоз Автор вопроса
Sergey V
kubeadm certs renew может надо? или както так

ну я вообще так и хотел, но мне сказали нет

Владимир-Муковоз Автор вопроса
Dmitry Sergeev 🇺🇦
а ты SAN добавил?

конечно certSANs: - "127.0.0.1"

Владимир Муковоз
ну я вообще так и хотел, но мне сказали нет

удали старые rm -fv /etc/kubernetes/pki/apiserver.* и попробуй но забэкапить надо конечно, на всякий

Владимир-Муковоз Автор вопроса
Dmitry Sergeev 🇺🇦
удали старые rm -fv /etc/kubernetes/pki/apiserver....

звучит страшно)), может всё таки просто команда перегенерации сертов?))

Владимир Муковоз
звучит страшно)), может всё таки просто команда пе...

cert renew вроде просто существующие апдейтит, не уверен что оно SAN обновит

Владимир-Муковоз Автор вопроса
Dmitry Sergeev 🇺🇦
cert renew вроде просто существующие апдейтит, не ...

ладно, я попробую сначала его), оно точно ничего поломать не должно))

Владимир Муковоз
ладно, я попробую сначала его), оно точно ничего п...

так удаление тож не поломает, тем более можно на всякий случай забэкапить

Владимир-Муковоз Автор вопроса
Lucky SB
127.0.0.1:6443

Доброго дня, а на мастерах у тебя тоже этот эндпойнт стоит?, я просто к чему это, получается у мастера этот адрес уже слушается апи самого мастера, то есть условно если я выключу мастер, а потом включу, она сам на себя же норм включится?. Вроде должен), иначе как кластеры с одним мастером запускаются)), но всё таки ответ интересен

Владимир Муковоз
Доброго дня, а на мастерах у тебя тоже этот эндпой...

Мастера общаются через etcd , если я правильно помню о чем речь. Поэтому делают на воркерах и на них же ставят балансировщики, если ты об это схеме

Владимир Муковоз
Доброго дня, а на мастерах у тебя тоже этот эндпой...

кластеры с одним мастером лучше не запускать, поверь на слово

Владимир-Муковоз Автор вопроса
Егор Мурлыков
кластеры с одним мастером лучше не запускать, пове...

Если у тебя всё на одном дедик, от того что ты там запустил 2 мастера у тебя надёжность не повысилась))

Владимир Муковоз
И мой вопрос был в другом

Ответ кроется в сущности static pod + etcd service discovery. Близкий аналог по логике работы связка consul + vault/stolon/patroni

Это тут без разницы. Я тебе про кишки, а не способ размещения

Владимир-Муковоз Автор вопроса
Vladimir Zhurkin
Мастера общаются через etcd , если я правильно пом...

странно как я это просрал учитывая что даже даже через ответ написано)

Владимир Муковоз
Доброго дня, а на мастерах у тебя тоже этот эндпой...

Я на мастере kubelet, cni натраваливаю на nginx/envoy локальный. Остальные компоненты - kube-sheduler, kube-controller-manager на kube-apiserver локальный. Порты развожу прост: Локальный прокси в апстримах которого все kube-apiservers, слушает 6444 kube-apiserver слушает 6444 Но ваще я думаю это не обязательно, мне прост автоматизацию так удобно было делать.

Владимир-Муковоз Автор вопроса
Dmitry Sergeev 🇺🇦
Я на мастере kubelet, cni натраваливаю на nginx/en...

вот я так понял что нет смысла разводить порты, я слушаю хапроксю на том же что и реальный апи сервер, просто на мастерах у меня нет хапрокси

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта