Anonymous
ну вот допустим, наймем аналитика снимать данные через внутренние сервисы, а он возьмет и бд сольет себе например, и всё: утечка, скандал, а кто виноват? я виноват
Pavel
Мне вот хватает басик ауса для большинства вещей
Pavel
А как он ее сольет?
Etki
получив лишние привилегии
bebebe
надеюсь по https? басик аус передается в base64
Pavel
Я просто не вижу особого смысла в разделении прав на уровне сети. В большинстве случаев
Anonymous
а если например вышла 0day уязвимость на какой-то сервис к которому есть сетевой доступ 🤔
Pavel
Ну так можно бесконечно защищаться :)
Anonymous
Pavel
У вас же впн, т.е. китаецы врядли там окажутся
Pavel
Но, собственно, это вопрос бизнеса,сколько он готов тратить в секурити
Anonymous
это я про случай когда произошла утечка впн-ключа (допустим оператор сидел с необновленной винды), этот ключ попал в нехорошие руки и он увидел, что там стоит необновленный сервис с дырой 🤔
конечно это ситуация в вакууме, но потенциально опасный случай
Anonymous
и лучше его избежать на этапе проектирования инфраструктуры, потому что потом все забудут имхо
Pavel
Пусть тогда ещо пароьь из смс вводит :)
Anonymous
😏
Anonymous
тогда тебе надо ждать istio стабильного релиза - там сайдкарами к каждому сервису цепляется прокси который трафон контролирует, ну и через iptables пускает куда только надо :)
Роман
Если у меня уже поднят кластер, где используется интернет для общения нод, и я хочу сделать между ними внутреннюю сеть через свич... На сколько сложно перенастроить?
Роман
imagePullPolicy: Always
Почему не обновляется образ у подов? Используется тэг image:v2
Igor
imagePullPolicy: Always
Почему не обновляется образ у подов? Используется тэг image:v2
Если у тебя Deployment, то нужно делать kubectl set image ...
Роман
Если у тебя Deployment, то нужно делать kubectl set image ...
Пробовал. Но ничего не происходит. Вывода никакого нет...
Роман
Помогает только удаление пода. Он потом заново его создаёт с новым образом. Это же должно автоматически происходить?
Nikolay
тег не меняется?
Anonymous
Помогает только удаление пода. Он потом заново его создаёт с новым образом. Это же должно автоматически происходить?
нужно тег новый каждый раз создавать и тогда под обновится, у меня лично в этом проблемка была
Роман
тег не меняется?
Нет. Тэг всегда один. Просто, это тестинг-окружение. Там в день по 15 коммитов идёт. Если каждый раз новую версию создавать - это очень много образов получится...
Nikolay
тогда только удалять pod, deployment делает обновление replica set только при наличии изменений в спеке
Роман
тогда только удалять pod, deployment делает обновление replica set только при наличии изменений в спеке
А если вставить лэйбл с хэшем?
Роман
Это поле не помечено, как неизменяемое?
Maksim
мм 1.8 что ли релизнулась?
Logan
Maksim
Пробовал. Но ничего не происходит. Вывода никакого нет...
пулл полиси точно не влияет. ЕСли изменяет image то прросиходит rollingUpdate деплоя
Maksim
Скорее всего ошибка в типе апдейта
Maksim
imagePullPolicy это указание кублету, в каком случае выполнять docker pull
𝚔𝚟𝚊𝚙𝚜
Гайс, а какую сеть посоветуете? - что нынче самое быстрое / модное / молодежное?
Салтыдык
как я мог отключить CNI, если kubeadm только с ним и работает?
Anonymous
Гайс, а какую сеть посоветуете? - что нынче самое быстрое / модное / молодежное?
http://machinezone.github.io/research/networking-solutions-for-kubernetes/
я вот сам только рисечу этот вопрос
(если я правильно тебя понял)
𝚔𝚟𝚊𝚙𝚜
как я мог отключить CNI, если kubeadm только с ним и работает?
не знаю, у меня только после этого все завелось:
https://github.com/kubernetes/kubeadm/issues/212#issuecomment-290628546
после этого
kubectl apply -f "https://cloud.weave.works/k8s/net?k8s-version=$(kubectl version | base64 | tr -d '\n')"
и все поднялось
𝚔𝚟𝚊𝚙𝚜
http://machinezone.github.io/research/networking-solutions-for-kubernetes/
я вот сам только рисечу этот вопрос
(если я правильно тебя понял)
Да, читал но там только flannel, кстати есть перевод на хабре:
https://habrahabr.ru/company/flant/blog/332432/
𝚔𝚟𝚊𝚙𝚜
Хотелось бы сравнения host-gw с weave и calico
Maksim
calico это решение от циски, и оно пропаретарное) weave-net проигрывает фланелу. Его приимущество в наличии внутренней шифрации, но при ней просадка по сети огромна (а сеть и так узкое место докера)
Maksim
host-gw это тип работы фланела
𝚔𝚟𝚊𝚙𝚜
вот это исчерпывющий ответ :)
Maksim
В сети есть всякие презы и сравнения calico с flannel и weave (когда оно их уделывает) ,но я им не верю, учитывая что все они делались циско и его партнёрами
𝚔𝚟𝚊𝚙𝚜
как всегда прямо в точку, спасибо
𝚔𝚟𝚊𝚙𝚜
weave - наверное хорошо, когда у тебя сеть наружу смотрит
𝚔𝚟𝚊𝚙𝚜
а так, пожалуй остановлюсь пока на host-gw
Maksim
Ещё чуток себя поправлю Сеть узкое место у докера если это не HostNetwork.
𝚔𝚟𝚊𝚙𝚜
в смысле?
Maksim
Ну у докера есть разные типы сети
Maksim
одна из них host-net когда докер вешается на на мост, а на прямую на ethernet контроллер хоста
Maksim
субсно так кубадм размещает контроллер
𝚔𝚟𝚊𝚙𝚜
То есть ты хотел сказать net=host? То есть в тот же namespace что и хост
𝚔𝚟𝚊𝚙𝚜
без виртуализации сетевого стка
Maksim
ну да
𝚔𝚟𝚊𝚙𝚜
понятно :)
𝚔𝚟𝚊𝚙𝚜
@Leorent я кстати нашел решение, как заставить kubernetes вешать айпишники на внешние интерфейсы для подов
𝚔𝚟𝚊𝚙𝚜
оказалось проще простого: https://gist.github.com/kvaps/889fe2b9eeab9f205c818ab1d1af56a9
𝚔𝚟𝚊𝚙𝚜
И этот же айпишник указываю как ExternalIP для сервиса
Maksim
Дык ты ено в нецмспайс хоста гкидешь целиком и пидом и сетью)
𝚔𝚟𝚊𝚙𝚜
да, но все что этот контейнер делает, так это назначает ip адрес хосту
𝚔𝚟𝚊𝚙𝚜
или удаляет его при завершении
𝚔𝚟𝚊𝚙𝚜
соответсвенно если этот контейнер переедет на другой хост, переедет и айпишник
𝚔𝚟𝚊𝚙𝚜
а за жизнью этого контейнера (ака айпишника) следит kubernetes, что собственно мне и требовалось
𝚔𝚟𝚊𝚙𝚜
в смысле само приложение в другом pod находится, этот только ip вешает
Maksim
в смысле само приложение в другом pod находится, этот только ip вешает
Да вы батенька знаете толк в извращениях) А так круто) хорошее решение
𝚔𝚟𝚊𝚙𝚜
))
𝚔𝚟𝚊𝚙𝚜
как только теперь два pod связать, что бы вместе запускались
𝚔𝚟𝚊𝚙𝚜
хотя наверное это и не требуется
Maksim
https://github.com/kubernetes/helm
𝚔𝚟𝚊𝚙𝚜
о, шаблоны - круто!
𝚔𝚟𝚊𝚙𝚜
через deployment или daemonset
да, но deployment - это же всего лишь pod + replicaset.
В данном случае задачка немного другая:
Допустим у меня есть deployment приложения с тремя репликами размазанными на три ноды, а я хочу запустить еще один pod, который запустится в количистве не больше одного на одной из этих самых трех нод.
𝚔𝚟𝚊𝚙𝚜
Похоже что этого можно с помощью labels добиться, но тут как раз нужно понять как правильно это все описать
Maksim
Не понял, что ты хочешьсделать?
𝚔𝚟𝚊𝚙𝚜
от всех этих абстракций голова кругом идет уже идет :)
Maksim
Ты просто мало курил)