у меня сейчас 1.7.2, о чем конкретно ты говоришь?

у меня сейчас кубер версии 1.5.2

1.7.2 я пока не ставил )

Не, я про что ты имеешь ввиду "объявлен устаревшим"?

ну у метода приписка depricated

У ds?

у external-ip

а, сорри

скажи только, правильно ли я понял, что параметр externalIP определяет адрес, который будет переписываться для правила dnat?

на этот вопрос не подскажешь ответ?

если это то что я думаю, то надеюсь, это решит мою проблему

Ну да. тут ты прав.

отлично, спасибо!

осталось только понять в чем разница от ClusterIP, похоже что он делает ровно тоже самое

ммм

ClusterIP это внутренняя сущность

ПО сути это виртуальный IP который есть только в правилах IPtables

его присваивают сервису, который балансирует трафик в поды

если подов больше одного то поравну.

ClusterIP это внутренняя сущность

внезапно его кстати можно вывесить на интерфейсы и это начнет работать

внезапно его кстати можно вывесить на интерфейсы и это начнет работать

Почему внезапно?)

Почему внезапно?)

внезапно я всегда использую слово внезапно в любой непонятной ситуации

внезапно, правда?

внезапно я всегда использую слово внезапно в любой непонятной ситуации

Ну он балансируется в IP tables

Ну он балансируется в IP tables

точно. просто таким путем можно без ExternalIP иметь одинаковые IP-адреса для сервисов как изнутри k8s, так и снаружи.

точно. просто таким путем можно без ExternalIP иметь одинаковые IP-адреса для сервисов как изнутри k8s, так и снаружи.

imho не лучшая идея)

нужно ставить кластер ip в реальную адрессацию...

imho не лучшая идея)

зависит от вашей сети.

по умолчанию кластерные адреса в NAT адрессации 10.0.0.0/4)

внезапно я всегда использую слово внезапно в любой непонятной ситуации

весьма внезапно

например я сторонник того, чтобы контейнеры имели first-class-адреса и с физическими серверами (например) снаружи k8s маршрутизировались без NAT.

first-class ,

?

ну у вас в инфраструктуре не только k8s есть.

но и еще снаружи от нее какие-то другие сервисы/хосты/виртуалки/контейнеры

ты как с Интереном общаешься? если используешь реальную адрессацию?

нужно ставить кластер ip в реальную адрессацию...

зачем?

все твои сервисы видны...

потому что ClusterIP назначается автоматически при создании сервиса

ты как с Интереном общаешься? если используешь реальную адрессацию?

конкретно я использую NAT в публичные адреса, реализованный на каждом хосте k8s, соответственно контейнер уходит в интернет сразу с того хоста, на котором запущен.

в моем случае как раз это и требуется :)

У тебя контейнеры имеют публичные адресса?

но вся внутренняя инфраструктура при этом плоская и не содержит натов или точек входа/выхода в k8s

У тебя контейнеры имеют публичные адресса?

технически мне ничто не помешает так сделать, кроме нехватки ipv4-адресов.

потому что ClusterIP назначается автоматически при создании сервиса

сорри, этого не увидел

То есть кривые разрабы накодили всякой фигни и ты это голым простите задом в интернет?

китайцев не боишься?

у меня вон сервера по 10-20к трайев по ssh ежедневно отлавливают

То есть кривые разрабы накодили всякой фигни и ты это голым простите задом в интернет?

а кто сказал про голый зад? вы мои слова не перевирайте, я этого не говорил. public-routable-адрес не означает отсутствие фаервола.

в особы удачные дни мы насчитывали миллон запросов в ssh

и нат - это не безопасность :)

https://habrahabr.ru/post/134638/

Ну когда все сети тебе подкотрольны вполне себе

потому что ClusterIP назначается автоматически при создании сервиса

стоп-стоп-стоп, ClusterIP я могу назначить самостоятельно при создании сервиса, если он будет ассигниться на реальный интерфейс - это вообще сказка.

Ну когда все сети тебе подкотрольны вполне себе

да, конечно.

мне все равно не нравится идея, что сервисы получаю адреса из реальной сети

в случае ipv6 например - вообще мастхев, но пока с этим трудности, емнип.

@spuzirev а кинь ссылочку где ты нашел, что так можно делать

ipv6 пока не так сильно работает...

@spuzirev а кинь ссылочку где ты нашел, что так можно делать

ээээ, это не ссылочка, это мозги.

@spuzirev а кинь ссылочку где ты нашел, что так можно делать

скорее всего сам придумал)

:))

ipv6 пока не так сильно работает...

эт как посмотреть.

@spuzirev а кинь ссылочку где ты нашел, что так можно делать

Мне кажется что если это услышат разрабы кубера, они с инфартом попадают)

эт как посмотреть.

Это где посмотреть)

Это где посмотреть)

скорее да :)

и какую сеть ты на сервисы отводишь?

и какую сеть ты на сервисы отводишь?

что?

это был воторой вопрос, пока выбираю между weave и host-gw

с другой стороны у тебя адресса 10.0.0.0 в реалиях кубера существуют только на нодах с кубер-прокси

что?

сколько полезных битов сети на сервисах?

сколько полезных битов сети на сервисах?

ты о чем спрашиваешь? какого размера подсеть отвести на "сервисы"?

да

ответ - такого какого нужно.

и это публичные адресса?

это публичные в пределах инфраструктуры адреса.

в случае большой v4-паблик сети - это были бы публичные белые адреса.

Я бы тебя задушил на месте сетевогоАрхитектора)

Я бы тебя задушил на месте сетевогоАрхитектора)

а зря.

v4 сосет здесь. его надо обкладывать костылями: 1) наты 2) динамическая маршрутизация (или перерасход адресов) 3) так и до Route-Reflector'ов во внутренней инфраструктуре дойдем v6 позволяет выделить столько адресов на физическую ноду, сколько хватит не просто навечно, а до скончания веков.

Это ты сейчас v6 рекламируешь?)