в самой идее ничего плохого нет, проблема в том что оно трогает кучу вещей - и все они должны быть настроены. В https://github.com/hjacobs/kubernetes-failure-stories есть куча историй, когда мелкая деталь всё ломает, например endpoints не обновляются во время

Коллеги, столкнулись тут с одной хренью, может кто-то уже решал.

Есть приложение в 16 кубике, приложенеи стейтлесс из 24 подов (это SPA фронт, с SSR, если кому интересно будет). Хрень проявляется во время деплоя новой версии: пока идет деплой, пользуны регулярно получают всяие 500, Плохие ворота, таймауты и прочий треш. Покопались, по всему получается, что когда под из старого релиза начинает убиваться, то он не сразу вылетает из сервиса, и ингресс какое-то время еще пихает ему запросы, хотя внутри уже шатдаун во всю и запросы эти новые никто не обрабатывает.

Что можно с этим сделать?

Коллеги, столкнулись тут с одной хренью, может кто-то уже решал.

Есть приложение в 16 кубике, приложенеи стейтлесс из 24 подов (это SPA фронт, с SSR, если кому интересно будет). Хрень проявляется во время деплоя новой версии: пока идет деплой, пользуны регулярно получают всяие 500, Плохие ворота, таймауты и прочий треш. Покопались, по всему получается, что когда под из старого релиза начинает убиваться, то он не сразу вылетает из сервиса, и ингресс какое-то время еще пихает ему запросы, хотя внутри уже шатдаун во всю и запросы эти новые никто не обрабатывает.

Что можно с этим сделать?

Привет всем! Не могу найти никаких конкретных аргументов против развертывания SQL серверов в statefulset. Однако нахожу множество каких-то предостережений без упоминания конкретных причин сбоев. У кого был какой-то опыт неудачного использования в statefulset (или наоборот удачного) или есть информация о том где конкретно получается слабое звено в этом случае отпишитесь плиз. Спасибо.

Приветствую.
Немного странный вопрос.
Я видел варианты раскатки мастеров, где он сам генерит мин серты и вариант, где серты делают вручную под будушие ip мастер нод + серт etcd + серты юзеров
какой  вариант имеет смысл и в будущем можно их сгенерить заново и подложить хз куда на мастера ?

по доку https://kubernetes.io/docs/concepts/cluster-administration/certificates/ их генерят кто как хочет, но внятного ответа, зачем сделаны вооот это 3 серта потом не дают )

по доку https://kubernetes.io/docs/concepts/cluster-administration/certificates/ их генерят кто как хочет, но внятного ответа, зачем сделаны вооот это 3 серта потом не дают )

Ребята, очень нубский вопрос:
Как максимально и правильно запретить поду ходить в K8S API?
Варианты:
1) Оставить у него default ServiceAccount
2) Создать свой ServiceAccount с минимальными правами (какими?)
3) Вариант 1 + automountServiceAccountToken: false

Всем привет, подскажите плиз какие есть варианты, или как лучше всего скрывать значения в configmap ? Нужно запулить описание деплоймента в рэп, а креды светить не охота.
К примеру с value1, value2 ?

apiVersion: v1
kind: ConfigMap
metadata:
 name: test
data:
 name1: "value1"
 name2: "value2"

вынести credentials в секрет и смонтировать через projected volume?

А есть варик, описать все эти value в баш скрипт, в стиле export name='value1' и тд. Или плохое решение ?

Такое направление
Bitnami Sealed Secrets
   Godaddy Kubernetes External Secrets
   External Secrets Operator
   Hashicorp Vault
   Banzai Cloud Bank-Vaults
   Helm Secrets
   Kustomize secret generator plugins
   aws-secret-operator
   KSOPS

Привет! подскажите, как подружить helm с переменными, прописанными в description'e PrometheusRule
В PrometheusRule у меня описан такой алерт:
   - alert: No_Activity
     annotations:
       description: 'No activity of {{ $labels.name }} more than 10 minutes. Status code  = {{ $value }}'

Когда выполняю helm template, то получаю ошибку undefined variable "$labels"
Но PrometheusRule должно улетать в оператор именно в таком виде. Как быть?