1) .Release.Name и .Release.Namespace - это встроенные переменные, когда вы деплоите чарт, указываете название и неймспейс релиза:
helm install \
-n nginx-helm \
nginx ./helm-chart
В таком случае .Release.Name=nginx, а .Release.Namespace=nginx-helm
2) В конкретной статье - через интеграцию Yandex Lockbox с Kubernetes Secrets. Можно вручную создать секрет через kubectl create или же использовать другую систему управления секретами, например Vault
Недавно мне попадались кандидаты, и на вопрос: "У нас используется технология X, знакомы ли вы с ней, читали ли, изучали?" в 90% случаев я слышал ответ: "Нет, не знаю"
То есть кандидат ОБЯЗАН изучать описание вашей вакансии, а HR резюме соискателя - нет? Хорошо, я прочитал вакансию, отозвался, HR просит синкануться в ТГ. И тут: "пожалуйста, ответье на вопросы, вы знакомы с технологией X?". И зачем собственно я составлял резюме??? Изредка вопросы про стек повторяются вплоть до успешно пройденного тех.собеса
Хотел быстро вкатиться в Vault, в документации использовали именно их собственный оператор. Про интеграцию ExternalSecrets с Vault узнал уже чуть позже =)
На прошлом месте работы использовали Yandex Lockbox (облачный сервис для хранения секретов) + External Secrets для интеграции с Yandex.Cloud. В коде описывали kind: ExternalSecret, в котором указывали id секрета в облаке, namespace и название k8s секрета.
На новом месте решили не привязываться к сервисам облака и поэтому раскатали Vault (для каждого кластера свой собственный). Интегрируем с кубом посредством Vault Secrets Operator, в репозиториях храним ресурсы kind: VaultStaticSecret по аналогии с ExternalSecret.
Согласно ПДД РФ 24.2(1) если вес СИМ меньше 35кг, то обочина и проезжая часть являются последними местами, где им разрешено ездить. То есть если нет велодорожки, то ПДД требует ездить по тротуару. Если возможности по тротуару ездить нет, то только тогда выезжать на дорогу.
Спасибо за комментарий, про bootstrap вы правы, отредактирую в статье. Про ~/.talos я как раз узнал уже на финишной прямой, это и правда удобнее, особенно когда нужно довольно часто выполнять команды с утилитой talosctl.
Такой кейс я не рассматривал, поэтому точный и верный ответ дать не смогу. Как минимум возникнут проблемы с TLS-сертификатами + конфигурационными файлами на стороне клиента. Но думаю, что это лишь часть неприятностей :)
Я перезагружал узлы несколько раз в процессе написания статьи, IP-адреса оставались статичными.
Неужели является проблемой не засорять ленту Хабра, а вместо этого оформить перевод в PDF-файл/GitHub-репозитории, описание и ссылку на которые можно уместить в одну статью?
Отвечаю спустя месяц - да, это возможно и так даже лучше. В своей последней статье понял как это работает, я был плохо посвящён в дела мониторинга :)
В K8s/ВМ хватит развернуть NodeExporter для сбора данных о производительности или Promtail для получения и отправки логов. Prometheus, Loki и тем более Grafana могут находиться на других серверах, но не стоит забывать о защите: лучше, чтобы они общались по внутренней сети или, если такое невозможно, то настроить авторизацию. Спасибо!
В первом комментарии ответил на этот вопрос: тык. Наверное я плохо высказал цели статьи и все обратили внимание на заголовок. Да, основная цель была настроить алерты после логина по SSH. Но возможно кто-то захочет отслеживать логи приложении или других файлов в системе. Можно заменить /var/log/auth.log файл на другой, тогда применимые в этой статьи инструменты, скорее всего, подойдут лучше всего.
Скажу честно, что в моих целях было получить практику по Ansible и конфигурации компонентов Grafana Loki. Исходя из этого стэка я уже решил написать статью, взяв за конечный результат то, что вы видите в заголовке :)
Вы абсолютно правы. В процессе написания статьи я нашёл кучу способов сделать это в пару строчек, не прибегая к использованию такого огромного количества инструментов.
Хоть я и написал в заголовке статьи, что основная цель - это отправлять уведомления после логина на сервер, но я также хотел рассказать и сам также "пощупать" Ansible и конфигурационные файлы Grafana компонентов. На примере этой статьи можно развернуть свой Ansible Playbook, настроить Promtail для любого другого файла или примерно понять как настроить компоненты Grafana Alerting.
Везде я видел, что Prometheus+Grafana разворачивают на том же железе, где развёрнету сервисы, которые нужно отслеживать. Не видел такого варианта, чтобы развернуть их где-то вне K8s, не представляю себе даже возможным это :)
В конечном итоге избавился от Terraform, так его использование для Grafana только усложняет жизнь.
Первое что сделал - подключил PostgreSQL для хранения всех сущностей. Настроил dev окружение, вытащил дамп, применил для продовской, изменил некоторые моменты и готово! Теперь можно не переживать про хранение дашбордов и прочих сущностей, так как на базах данных производятся ежедневные бэкапы.
Использование мобильных средств в любом случае было запрещено в уставах школ и учителя обычно либо делают предупреждение, либо забирают телефон на один урок и потом отдают, либо в наихудшем случае отдают директору, который потом отдаёт его родителям.
Не вижу каких-либо страшных изменений для школьников. Сначала повёлся на формулировку "запрет в школе", подумав, что телефоны нельзя будет вообще заносить в школу и использовать его на переменах. Но в законе указано именно использование на уроках.
1) .Release.Name и .Release.Namespace - это встроенные переменные, когда вы деплоите чарт, указываете название и неймспейс релиза:
helm install \-n nginx-helm \nginx ./helm-chartВ таком случае .Release.Name=nginx, а .Release.Namespace=nginx-helm
2) В конкретной статье - через интеграцию Yandex Lockbox с Kubernetes Secrets. Можно вручную создать секрет через kubectl create или же использовать другую систему управления секретами, например Vault
То есть кандидат ОБЯЗАН изучать описание вашей вакансии, а HR резюме соискателя - нет? Хорошо, я прочитал вакансию, отозвался, HR просит синкануться в ТГ. И тут: "пожалуйста, ответье на вопросы, вы знакомы с технологией X?". И зачем собственно я составлял резюме??? Изредка вопросы про стек повторяются вплоть до успешно пройденного тех.собеса
Пробовал прикручивать в качестве oidc Keycloak по документаций.
Но так и не пригодилось
Хотел быстро вкатиться в Vault, в документации использовали именно их собственный оператор. Про интеграцию ExternalSecrets с Vault узнал уже чуть позже =)
Нет, его не используем
На прошлом месте работы использовали Yandex Lockbox (облачный сервис для хранения секретов) + External Secrets для интеграции с Yandex.Cloud. В коде описывали kind: ExternalSecret, в котором указывали id секрета в облаке, namespace и название k8s секрета.
На новом месте решили не привязываться к сервисам облака и поэтому раскатали Vault (для каждого кластера свой собственный). Интегрируем с кубом посредством Vault Secrets Operator, в репозиториях храним ресурсы kind: VaultStaticSecret по аналогии с ExternalSecret.
Слышал и читал о таком, но честно признаюсь, что не осилил =)
Показалось, что такой ресурс мне пока не нужен. Но возможно стоит попробовать, а не просто прочитать об этом в документации
24.2 для велосипедистов, 24.2(1) для СИМ. Специально для вас синей стрелочкой обозначил повторение слова "тротуар"
Согласно ПДД РФ 24.2(1) если вес СИМ меньше 35кг, то обочина и проезжая часть являются последними местами, где им разрешено ездить. То есть если нет велодорожки, то ПДД требует ездить по тротуару. Если возможности по тротуару ездить нет, то только тогда выезжать на дорогу.
Спасибо за комментарий, про bootstrap вы правы, отредактирую в статье. Про ~/.talos я как раз узнал уже на финишной прямой, это и правда удобнее, особенно когда нужно довольно часто выполнять команды с утилитой talosctl.
Такой кейс я не рассматривал, поэтому точный и верный ответ дать не смогу. Как минимум возникнут проблемы с TLS-сертификатами + конфигурационными файлами на стороне клиента. Но думаю, что это лишь часть неприятностей :)
Я перезагружал узлы несколько раз в процессе написания статьи, IP-адреса оставались статичными.
На фоне того, что происходит в мире, такие новости успокаивают :)
Напишу в последнем вашем посте, который вижу.
Неужели является проблемой не засорять ленту Хабра, а вместо этого оформить перевод в PDF-файл/GitHub-репозитории, описание и ссылку на которые можно уместить в одну статью?
Отвечаю спустя месяц - да, это возможно и так даже лучше. В своей последней статье понял как это работает, я был плохо посвящён в дела мониторинга :)
В K8s/ВМ хватит развернуть NodeExporter для сбора данных о производительности или Promtail для получения и отправки логов. Prometheus, Loki и тем более Grafana могут находиться на других серверах, но не стоит забывать о защите: лучше, чтобы они общались по внутренней сети или, если такое невозможно, то настроить авторизацию. Спасибо!
Вам правильно ответили, так и есть)
В первом комментарии ответил на этот вопрос: тык. Наверное я плохо высказал цели статьи и все обратили внимание на заголовок. Да, основная цель была настроить алерты после логина по SSH. Но возможно кто-то захочет отслеживать логи приложении или других файлов в системе. Можно заменить /var/log/auth.log файл на другой, тогда применимые в этой статьи инструменты, скорее всего, подойдут лучше всего.
Скажу честно, что в моих целях было получить практику по Ansible и конфигурации компонентов Grafana Loki. Исходя из этого стэка я уже решил написать статью, взяв за конечный результат то, что вы видите в заголовке :)
Вы абсолютно правы. В процессе написания статьи я нашёл кучу способов сделать это в пару строчек, не прибегая к использованию такого огромного количества инструментов.
Хоть я и написал в заголовке статьи, что основная цель - это отправлять уведомления после логина на сервер, но я также хотел рассказать и сам также "пощупать" Ansible и конфигурационные файлы Grafana компонентов. На примере этой статьи можно развернуть свой Ansible Playbook, настроить Promtail для любого другого файла или примерно понять как настроить компоненты Grafana Alerting.
Везде я видел, что Prometheus+Grafana разворачивают на том же железе, где развёрнету сервисы, которые нужно отслеживать. Не видел такого варианта, чтобы развернуть их где-то вне K8s, не представляю себе даже возможным это :)
Всем спасибо за фидбек!
В конечном итоге избавился от Terraform, так его использование для Grafana только усложняет жизнь.
Первое что сделал - подключил PostgreSQL для хранения всех сущностей. Настроил dev окружение, вытащил дамп, применил для продовской, изменил некоторые моменты и готово! Теперь можно не переживать про хранение дашбордов и прочих сущностей, так как на базах данных производятся ежедневные бэкапы.
Доброго времени суток! Вы совершенно правы, упустил этот момент.
Я разворачиваю через YAML манифесты, как раз сегодня занимался тем, что избавлялся от этого в пользу использования собственного Helm-чарта.
Использование мобильных средств в любом случае было запрещено в уставах школ и учителя обычно либо делают предупреждение, либо забирают телефон на один урок и потом отдают, либо в наихудшем случае отдают директору, который потом отдаёт его родителям.
Не вижу каких-либо страшных изменений для школьников. Сначала повёлся на формулировку "запрет в школе", подумав, что телефоны нельзя будет вообще заносить в школу и использовать его на переменах. Но в законе указано именно использование на уроках.