ну 200к рпс - не беда на норм ноде, с тюнингом и норм сетевыми

вообще сейчас не хай лоад

hpa тоже нормально работает

hpa?

ну он написал про авторазворачивание подов - horisontal pod autoscaler

'nj lf

Так, а если же я подниму ingress, тут же не надо морочиться с gподменой IP и портами? Или я чего-то недопонял?

ну это да

ну сама система под подами тоже должна быть готовой

amazon)

я ингрес не юзал, у меня оба раза были l4 кейс)

там и ноды добавлять)

ноды денег стоят)

Ну зачем амазон, когда свое железо есть)

если учесть, что амазон любит билить каждый чих

что за трафик если денег не приносит)

Миша, на ваш кейс - дайте в сисцтл памяти на таблицу ната и сетевому стеку - и не заморачивайтесь

можно оптимизировать затраты

для начала просто разверните попробуйте

да развернуть не самая большая проблема)

многие проблемы могут и не возникнуть) и вопросы некоторые отпадут

кубспрей с фланелем, а тот с type: host-gw

там останется вопрос только балансировщика)

ну или вейв, если вам реально нужна изоляция на уровне подов

ну там будут свои накладные расходы

Да я уже развернул, кластеризацию мастеров собрал , сейчас напильником по rbac прохожусь, просто подняли вопрос, а может ли кубер такое выдержать и т.дд с учетом моей конфигурации

я гонял более 10Г трафика на 5 нодах

одна из них была мастер с етсд - ибо тогда мультимастера не было и не надо было на тот момент

точнее так, выдержать то может, другое дело как это лучше сделать)

неплохо

и апаратный аблансировщик

т.е.?

самое большое неудобстро было по snmp ему воткнуть нужные поды на балансировку)

аппаратный это который, сорри за нубский вопрос?)

это типа A10

готовое решение

https://www.a10networks.com/products/thunder-series/thunder-application_delivery_controller

из этой серии

О,благодарю, хоть буду понимать о чем речь:)

ну был свой скрипт который по snmp втыкал поды на балансировку

скрипт по имени сервиса вытаскивал нужный айпи и порты подов и выткал их в балансировщик

)

а сам балансировщик имел маршруты на нужные кубер ноды

Т.е. обращался напрямую к подам,поулчается?)

ну те сеть подов 10.60.10.0/24 длступна через ноду 192.168.10.10

ну эьти маршруты и были прописаны

да

ааа

и чхать я хотел на нат)

ну вот я думал что-то подобное сделать сейчас, у кубера же ДНС, автодискавери сделать какой

но тогда не было нетворк полиси

у меня перед кластером Nginx+ стоит

у кубера скластер днс который для сервис дискавери вообще радтает через маркировку пакетов

опять же фаервол)

=)

я долго ковырял как и шо там было сделанно в 1,5 версии

было такое ощущение, что вообще внутрикластерное сервис бискавери сделали как затычку

а в будущем выпилят в пользу того же istio

или linkerd

или как там его

)

В общем будем потихоньку ковырять)

удачи

Спасибо ! =)

да нет за что

кстати, будет опыт с нетворк полиси - отпишите плиз

Есть позитивный опыт более полугода эксплуатации. Правда контроллер самописный:)

кубспрей с фланелем, а тот с type: host-gw

вот кстати, с host-gw получается работает маршрутизация, накладных расходов минимум. nginx-ingress в daemonset + hostNetwork на железе. по сравнению с конфигурацией без к8с не вижу заужения, разве что с фланел еще под нагрузкой не видел. что тут может вызвать проблемы производительности?

всем привет, кто нибудь заморачивался с авторизацией x509 из подов на внешних серверах(например mongodb Enterprise with x509 auth) ?

а в чём собствнно вопрос?

А если у меня есть одна удаленная нода-миньон в другом офисе. Можно как то сделать чтобы контейнеры на ней получили реальные адреса?

Как на докере это сделать я представляю Но вот на кубе или шифте не особо

HostNet: True

Гонять трафик по оверлею долго

делаешь на той ноде лебл. на под вешаешь NodeSelector + HostNetwork: true

и в перёд

А ДНС?

Как сервис регистрировать ?

Консул?

в кубе-днс они буду зарегестрированы

Спасибо Попробую