Etki
ну, инструмент надо правильно готовить
Gleb
ну, инструмент надо правильно готовить
после правильной готовки цеф по стоимости выходит как нормально энтерпрайзное решение
Etki
ну, мне казалось сейчас именно функциональные аспекты обсжудались
Михаил
Михаил
и ты мне так и не ответил на вопрос
что использовать для s3 если данных 100тб+
Gleb
есть микроинсталяции CEPH
так я тебе еще раз повторяю - в микросервисной архитектуре это костыль
Михаил
так я тебе еще раз повторяю - в микросервисной архитектуре это костыль
костыль - но вот такой вот реальный мир
Gleb
100тб в minio? да ты точно отъехавший
в чём проблема? я думаю ты не собирал кластер и не тестил
Михаил
в чём проблема? я думаю ты не собирал кластер и не тестил
As with Minio in stand-alone mode, distributed Minio has a per tenant limit of minimum 4 and maximum 16 drives
для начала
+ у них нет описания архитектуры проекта и что бы конкретно доебаться надо лезть в сорцы
Evgenii
.эж
Evgenii
жз.
Evgenii
.жз
Evgenii
.жз88888888888888888888п8к48г4к8г4
Ivan
Дети телефон заполучили? :)
Etki
^ лучшая реклама, которая у нас была
Evgenii
оставил незалоченный ноутбук
Vegas
Киньте пожалуйста ссылкой, как в Calico запустить мультикаст между подами (если это вообще возможно), сам как-то не могу найти
Maksim
а он там есть?
Vegas
Не уверен, возможно можно как-то включить pim, об этом и речь
Lev
https://github.com/kubernetes/kubernetes/releases/tag/v1.8.0
Anonymous
http://blog.kubernetes.io/2017/09/kubernetes-18-security-workloads-and.html
Anonymous
что такое SIG?
Anonymous
ясно, спасибо
Anonymous
а для каких вещей в поде необходимо явно декларировать ports.containerPort ?
Anton
я для всех описывал.
https://kubernetes.io/docs/api-reference/v1.7/#containerport-v1-core
containerPort
integer Number of port to expose on the pod's IP address. This must be a valid port number, 0 < x < 65536.
Anton
думаю не посадишь сервис на порт, который не описан
Anton
но я не знаю, будет ли порт внутри пода доступен через 127.1 если его не описать
Anonymous
сервису в целом пофиг насколько я понимаю
Anonymous
"но это не точно" (С) : ) пойду доки читать и искать инфу
Anton
хочешь сказать что можно в сервисе сослаться на неописанный порт?
Maksim
я для всех описывал.
https://kubernetes.io/docs/api-reference/v1.7/#containerport-v1-core
containerPort
integer Number of port to expose on the pod's IP address. This must be a valid port number, 0 < x < 65536.
Посадишь. при expose ставишь флаг —port. Описание ports в контейнере служит для автоматического проброса портов на сервисе.
Роман
У меня в подах вообще нигде порты не описаны. Только сервисы. И работает.
Anton
бардак! =)
Роман
но я не знаю, будет ли порт внутри пода доступен через 127.1 если его не описать
А это, мне кажется, зависит только от того, работает ли какая-то программа с этим портом. Будет странно, если в контейнере nginx, и из этого контейнера будет недоступен, например 127.0.0.1:80
Роман
Кто kubespray пользуется? Как теперь (в последнем релизе) calico задать ip адрес?
Роман
Раньше calico.env был с параметром:
CALICO_IP="{{ ip | default(ansible_default_ipv4.address) }}"
Aleksey
Народ, а поделитесь линком на докеровский чятик?
UPD: спасибо, нашёл
Mikhail [azalio]
что-то по моим ощущениям в 1.8 переделали все
Mikhail [azalio]
(судя по changelog)
Logan
коллеги, есть ли тут кто-нибудь, кто проводил секурный аудит инфраструктуры на кубе? FIPS, PCI-DSS, аналоги?
Magistr
https://t.me/secinfosec тут мб есть кто
Sergey
из нового в 1,8 кубере
Sergey
Сеть
В kube-proxy добавлена альфа-версия поддержки режима IPVS для балансировки нагрузки (вместо iptables). В этом режиме kube-proxy следит за сервисами и endpoints в Kubernetes, создавая netlink-интерфейс (virtual server и real server соответственно). Кроме того, он периодически синхронизирует их, поддерживая консистентность состояния IPVS. При запросе на доступ к сервису трафик перенаправляется на один из подов бэкенда. При этом IPVS предлагает различные алгоритмы для балансировки нагрузки (round-robin, least connection, destination hashing, source hashing, shortest expected delay, never queue). Такую возможность часто запрашивали в тикетах Kubernetes, и мы сами тоже очень её ждали.
Среди других сетевых новшеств — бета-версии поддержки политик для исходящего трафика EgressRules в NetworkPolicy API, а также возможность (в том же NetworkPolicy) применения правил по CIDR источника/получателя (через ipBlockRule).
Sergey
думаю ко 2 версии будет уже юзабельно
Sergey
это не может не радовать
Sergey
ну оно уже в инкубаторе
Sergey
ну движение в эту сторону не может не радовать
Михаил
это да
Knyage
хороший повод обновиться с 1.6. до 1.8 )
Ivan
Всем привет!
Народ, а подскажите, кто как живёт?
меня интересует такой момент - я из кубернетовского кластера публикую какой-то порт какого-то пода (сервиса, деплоймента, не важно).
Далее этот порт у меня публикуется на айпишниках всех нод (всех трёх).
и можно стучаться на сервис по этому порту стучась на любую ноду.
если я натравлю весь траффик на айпишник первой ноды и эта нода упадёт, то достучаться до сервиса я не смогу, хотя он будет доступен на айпишниках других нод.
Интересны ваши решения или соображения на эту тему)))
Etki
Выше предлагали VRRP по количеству смотрящих в интернет нод + можно сделать round-robin DNS с несколькими A-записями, но будут ли клиенты своевременно обновлять айпишник - неизвестно.
Etki
Про VRRP лучше прямо по этой аббревиатуре выше поискать, я в этой штуке не особо смекаю и могу сказать не совсем верную вещь.
Ivan
ок. спасибо ))
Igor
Round-robin по DNS будет продолжать ходить на упавшую ноду, если сам сервак не чистит запись недоступной ноды, то есть часть траффика может стучаться в недоступную область. Ну и да, кэшируется IP. VRRP как вариант, но уже поверх балансеров. Мне кажется достаточно на первое время простого балансера для нод, типа HAProxy если on-prem, и. т.п.
Logan
Round-robin по DNS будет продолжать ходить на упавшую ноду, если сам сервак не чистит запись недоступной ноды, то есть часть траффика может стучаться в недоступную область. Ну и да, кэшируется IP. VRRP как вариант, но уже поверх балансеров. Мне кажется достаточно на первое время простого балансера для нод, типа HAProxy если on-prem, и. т.п.
там все еще хуже. ответы РР кешируются
Maksim
1. Можно принудительно запретить кеш на не хозяинах зоны
Maksim
2. Обновлять A в динамике не проблема
Øk_gø_løve
Так один внешний адрес же получается
Ivan
type: LoadBalancer, не?
не сталкивался пока.
а не кинете ли вы в меня ссылочкой, где это для тупых разжёвывалось бы?
Øk_gø_løve
не сталкивался пока.
а не кинете ли вы в меня ссылочкой, где это для тупых разжёвывалось бы?
Я тоже тупой, так что не то чтобы могу помочь с этим.
Øk_gø_løve
Сам вот только-только сумел поднять свое барахло в GCE.
Maksim
А кто-то своё GCE строит с Блекджеком)
Øk_gø_løve
для этого нужна внешняя инфраструктура, не все живут в aws/gce
Разве? Я думал это на уровне kubernetes рулится.
Etki
кубернетес не в силах просто взять и сказать внешней сетке, что у его нод одинаковые айпишники
Etki
и что их еще надо раунд робином перебирать
Øk_gø_løve
Ну так а если ты делаешь
Service
type: loadBalancer
loadBalancerIP: ext_ip
?
Øk_gø_løve
Например, выставляя traefik туда
Etki
в этом случае он создает в GCP балансировщик, его можно через обычную панель посмотреть
Maksim
Всем привет!
Народ, а подскажите, кто как живёт?
меня интересует такой момент - я из кубернетовского кластера публикую какой-то порт какого-то пода (сервиса, деплоймента, не важно).
Далее этот порт у меня публикуется на айпишниках всех нод (всех трёх).
и можно стучаться на сервис по этому порту стучась на любую ноду.
если я натравлю весь траффик на айпишник первой ноды и эта нода упадёт, то достучаться до сервиса я не смогу, хотя он будет доступен на айпишниках других нод.
Интересны ваши решения или соображения на эту тему)))
nginx-ingressController Для вывода зверинца в мир. NodePort сервисы пока не мучал
Etki
Я не знаю деталей как это у них внутри реализовано, но, конечно, это виртуальный айпишник, и у нескольких нод не может быть один и тот же айпишник по понятным причинам