iptables? Лично я вообще вопрос не понял

iptables? Лично я вообще вопрос не понял

они хотят на нодах фаером закрыть все кроме лупа и кубера

Я думаю, что тут правильнее будет руками через белые списки всё открывать. Автоматической системы лично я не знаю

или какой реверс прокси перед кластером выставлять

iptables? Лично я вообще вопрос не понял

Кубернетес на бареметалл. У серверов один интерфейс, он же паблик. У кубернетеса все порты открыты наружу. Любой создаваемвй сервис торчит в мир голой жопой. Собственно, кто как и чем решает эту бяку. Или всем пофик...

любой создаваемый сервис в сервисной сети же. чтобы наружу его вытащить нужно приложить усилия некоторые

не прилагайте эти усилия. и вам проще и безопаснее )

возникает проблема с minikube start - падает с Error restarting cluster: running cmd: sudo kubeadm alpha phase certs all --config /var/lib/kubeadm.yaml && sudo /usr/bin/kubeadm alpha phase kubeconfig all --config /var/lib/kubeadm.yaml && sudo /usr/bin/kubeadm alpha phase controlplane all --config /var/lib/kubeadm.yaml && sudo /usr/bin/kubeadm alpha phase etcd local --config /var/lib/kubeadm.yaml

Нууу. Это когда у вас все все в облаке, то да. А когда у вас кубернетес поверх голого железа....

Кубернетес на бареметалл. У серверов один интерфейс, он же паблик. У кубернетеса все порты открыты наружу. Любой создаваемвй сервис торчит в мир голой жопой. Собственно, кто как и чем решает эту бяку. Или всем пофик...

заюзал железо с двумя интерфейсами\сетями. на внутренней сети приватный vlan намутили, куберовское все работает через vlan. но всеравно открывает порты на других интерфейсах, но там уже просто закрыть их, разрешив только нужное

заюзал железо с двумя интерфейсами\сетями. на внутренней сети приватный vlan намутили, куберовское все работает через vlan. но всеравно открывает порты на других интерфейсах, но там уже просто закрыть их, разрешив только нужное

Первое предложение не осуществимо. От бедности

у вас кубернетес ноды в кластере друг сдругом через внешний адрес общаются?

Ага)(

И увы

https://www.wireguard.com/

довольно быстрый впн

заюзали его в хецнере. там тоже локалки нету

на тестовом кластере, где бедно - вместо приватного vlan на внутренней сети разрешил весь трафик только от соседей, для всех остальных - только то что разрешено

Если проблемы с стартом Minikube , что делать ?

https://www.wireguard.com/

Хмммм Спасибо, затестим

кто то работал k8s+containerd?

Если проблемы с стартом Minikube , что делать ?

не юзать миникуб. это же какойто другой кубернетес . несовместимый с нормальным кубером

https://www.wireguard.com/

Peervpn

откуда такая инфа?

гдето на конфах слышал

не юзать миникуб. это же какойто другой кубернетес . несовместимый с нормальным кубером

а что посоветуете - если нужно пока тольько для начального уровня - поразбираться на локальной машине ?

если линь. то поднять однонодовый кластер на своей машине

если не линь - виртуалбокс с линукс и там поднять однонодовый кластер

а что посоветуете - если нужно пока тольько для начального уровня - поразбираться на локальной машине ?

только понадобится от 4гб памяти, и разрешить мастеру деплоить на себя

Имхо

типа я мастер - я воркер

само собо. только это же одна команда всего

если не линь - виртуалбокс с линукс и там поднять однонодовый кластер

Звучит нормально для современного MacBook pro

Попробую

заюзали его в хецнере. там тоже локалки нету

У меня тоже в hetzner, но, имхо, городить такое… Вот реально, не проще ли закрыть всё и разрешить между серверами только необходимое, выставив наружу только, например, ingress? Понятно что можно покопаться и сделать это самому, но наверняка ж есть готовое.

в том и прикол. что оно очень простое

как несколько правил iptables

Вы предлагаете урезать скорость между нодами

тестили скорость. не заметили спада. через wan и через wireguard интерфейс

я не навязываю такто, кому что удобнее

ну вы же понимаете что так не бывает?

Вы в любом случае платите скоростью сети и cpu

не буду спорить.

только понадобится от 4гб памяти, и разрешить мастеру деплоить на себя

Я правильно понимаю что в Linux установка и разворачивание проще чем на Mac ?

не буду спорить.

Это p2p решение или с центральным сервером?

Я правильно понимаю что в Linux установка и разворачивание проще чем на Mac ?

Да

вопрос то про безопасность был. гонять свой трафик между серверами в отрытом виде или через впн, ценой некоторого снижения скорости. выбирайте

Впн, если не сэлфхостить!)

Я правильно понимаю что в Linux установка и разворачивание проще чем на Mac ?

явно вы не будете проду держать на маках так что лучше сразу в линь упираться

+1. дев должен быть как прод )))

Вопрос был про безопасность в контексте того что куб вывешивает своё добро в инет и что нужно закрыть это все фаерволлом, как это сделано на остальных машинах вне кластера

Сергей спросил кто как решает проблему открытых портов. я ответил, как решаем мы. вам решение наше не понравилось. не используйте его

Не подскажите по ранее заданному вопросу? «Это p2p решение или с центральным сервером?»

можно и так и так

Ребят чет я запутался, деплою дефолтный дашборд в кубер, упирается в CrashLoopBackOff, describe ошибок не пишет

кстати только что попробовал померять скорость. через внешний интерфейс HTTP request sent, awaiting response... 200 OK Length: 2836847124 (2.6G) [text/plain] Saving to: ‘registry.tar.gz’ registry.tar.gz 100%[=====================================================>] 2.64G 112MB/s in 24s через wireguard сетку: Length: 2836847124 (2.6G) [text/plain] Saving to: ‘registry.tar.gz.1’ registry.tar.gz.1 100%[=====================================================>] 2.64G 107MB/s in 25s

wget - nginx

Спасибо! Это не решает моей проблемы, но поможет в другом)

Ребят чет я запутался, деплою дефолтный дашборд в кубер, упирается в CrashLoopBackOff, describe ошибок не пишет

kubectl log dashbord_pod там может чтото есть ну и дескрайб показать не мешает

не юзать миникуб. это же какойто другой кубернетес . несовместимый с нормальным кубером

А в чем фишка? Он реально не совместим??

хм. я вот сам теперь сомневаюсь.

Minikube uses libmachine for provisioning VMs, (- это ок ) and localkube (originally written and donated to this project by Redspread) for running the cluster. (а вот это непонятно)

Minikube is a tool that makes it easy to run Kubernetes locally. Minikube runs a single-node Kubernetes cluster inside a VM on your laptop for users looking to try out Kubernetes or develop with it day-to-day.

тем кто больше dev чем ops возможно и норм. а тем кто как я больше ops чем dev, миникуб не научит разворачивать прод кластер кубера

сорян . если когото ввел в заблуждение ?

тем кто больше dev чем ops возможно и норм. а тем кто как я больше ops чем dev, миникуб не научит разворачивать прод кластер кубера

Феерически поддерживаю

сорян . если когото ввел в заблуждение ?

++

На кубике никто не разворачивал ntopng?

Как сказал мне мой "старший" админ, разверни ка, за вечерок, потом поговорим. https://github.com/kelseyhightower/kubernetes-the-hard-way чего и советую

Неплохая рассылка еженедельная с новостями около Cloud Native: https://tinyletter.com/bbrundert

Подскажите, а можно ли в стандартных storage драйверах указать опции для mkfs и для mount?

Конкретно интересует iscsi драйвер

@rossmohax, взываю к тебе :)

в dynamic provisioner точно нельзя

мне нужна была xfs для монги - нашел тикет в репе кубера что есть такое в планах дать указывать тип ФС, а пока гвоздями прибит ext4

мне нужна была xfs для монги - нашел тикет в репе кубера что есть такое в планах дать указывать тип ФС, а пока гвоздями прибит ext4

погоди, так есть же kubernetes.io/fsType?

или оно просто игнорирутся?

хммм это что-то новое, в 1.5 такого не было

может запилили тот тикет

Вот что меня раздражает в куберовском подходе к issue, то что если разрабы забивают на него на 30 дней - оно автоматом закрывается.

мне нужна была xfs для монги - нашел тикет в репе кубера что есть такое в планах дать указывать тип ФС, а пока гвоздями прибит ext4

Тут только руками форматировать. А разве iscsi есть dynamic provisioning?

+1, у них там бот этот дурацикй

ну написать провижионер дело не хитрое, другое дело, файловую систему не он создает, а сам kubelet при подключении volume к ноде, или я не прав?

Подскажите, а можно ли в стандартных storage драйверах указать опции для mkfs и для mount?

- apiVersion: v1 kind: PersistentVolume metadata: annotations: pv.kubernetes.io/bound-by-controller: "yes" volume.beta.kubernetes.io/mount-options: noatime,logbufs=2,wsync

- apiVersion: v1 kind: PersistentVolume metadata: annotations: pv.kubernetes.io/bound-by-controller: "yes" volume.beta.kubernetes.io/mount-options: noatime,logbufs=2,wsync

???

погоди, так есть же kubernetes.io/fsType?

iscsi: fsType: xfs iqn: iqn.2001-05.com.equallogic:8-661fc6-09200eec6-504d6f3966859315-kubernetes-volume100 iscsiInterface: default lun: 0 targetPortal: 10.255.254.50

осталось только с опциями для mkfs разобраться

- apiVersion: v1 kind: PersistentVolume metadata: annotations: pv.kubernetes.io/bound-by-controller: "yes" volume.beta.kubernetes.io/mount-options: noatime,logbufs=2,wsync

кстати похожу запилили уже: In the past, the annotation volume.beta.kubernetes.io/mount-options was used instead of the mountOptions attribute. This annotation is still working, however it will become fully deprecated in a future Kubernetes release

У меня это на 1.6, в более новых не проверял

еще вопрос, делает ли Kubernetes какой-нибудь fsck непосредственно перед монтированием образа?

Не делает

мне нужна была xfs для монги - нашел тикет в репе кубера что есть такое в планах дать указывать тип ФС, а пока гвоздями прибит ext4

раз прозвучала монга, вопрос - как ее бекапить - cronjob-ом своим скриптом? плюс хочу бекапить pv, поделитесь опытом

Собственно поэтому при повреждении фс волюмы перестают маунтиться и надо городить костыли, чтобы вернуть их к жизни.

Собственно поэтому при повреждении фс волюмы перестают маунтиться и надо городить костыли, чтобы вернуть их к жизни.

спасибо тебе добрый человек, /me ушел писать свой драйвер для iscsi, с fsck и шлюхами

you’re welcome

Ребята подскажите пожалуйста есть DaemonSet и у него configmap при изменении этого конфига сервис перезагружается ли ? и если нет то как его перезагрузить ?

раз прозвучала монга, вопрос - как ее бекапить - cronjob-ом своим скриптом? плюс хочу бекапить pv, поделитесь опытом

сайдкар контейнер которые делает FS freeze через вызов функции монги а потом EBS snapshot

Ребята подскажите пожалуйста есть DaemonSet и у него configmap при изменении этого конфига сервис перезагружается ли ? и если нет то как его перезагрузить ?

kubectl delete pods ну или юзать хелм

Привет! Как правильно наружу сервис выставить? mysql, к примеру