https://ru.stackoverflow.com/q/753510 на ру.со всплыл профильный вопрос, закидываю сюда, потому что тамошняя аудитория в основном именно программисты

Гайз привет кто-нибудь юзает паттерн амбассадор?

на сколько он удобен и в чем у него основные отличия от обычного external service?

Всем привет, ищу можно ли c k8s поднимать контейнеры on demand, и если они проставивают выгружать соответсвенно, занятно что в инете почти ничего нет - https://stackoverflow.com/questions/36379436/implement-on-demand-docker-container-start-up . Это вообще можно сделать?

https://legacy-developer.atlassian.com/blog/2015/03/docker-systemd-socket-activation/

https://github.com/google/metallb

@etkee а зачем это Хетцнер так делает с адресами на виртуалках?

@etkee а зачем это Хетцнер так делает с адресами на виртуалках?

я к этому не имею отношения, просто скинул вопрос на который там вряд ли ответят, а отсюда может кто и придет

@etkee IPv6 советуют использовать вот тут https://serverfault.com/questions/725255/cant-use-external-ip-on-hetzner-vps вообще конечно жесть, мне так своими ценами их виртуалки нравятся

это на ру.со надо писать :)

@etkee да понятно, я просто что-то расстроился из-за такой лажи у них на виртуалках

можно у них взять дедикейтед сервер и на нем уже нарезать виртуалок с паблик айпи. Только свет клином же на хетзнере же не сошелся...

Народ, а есть кто тут дженкинс активно пользует? Применительно к куберу? Я вроде все настроил но в пайплайне не видится докер. Где я мог накосячить?

что значит в пайаплайне не видится докер?

ты хочешь билд ноду в k8s запускать как контейнер?

что значит в пайаплайне не видится докер?

... [pool-auth] Running shell script + docker inspect -f . golang:alpine /var/jenkins_home/workspace/pool-auth@tmp/durable-b34f2dca/script.sh: 2: /var/jenkins_home/workspace/pool-auth@tmp/durable-b34f2dca/script.sh: docker: not found

сам пайплайн выглядит так: https://pastebin.com/zUp5xBs5

а где женкинс запущен? я не значю плагин docker.image и по коду не понимаю что он даст при вызове на мастере и как он в кубер сходит. мы юзаем podTemplate : https://github.com/jenkinsci/kubernetes-plugin

судя по всему это плагин для работы с докером, а не с кубом

Да, там был плагин для работы с докером а не кубом. Т.е. фактически вы стартуете под с нужными докер образами и там уже все ывполняется?

да конечно. а как еще?

ну из того что я начитался - напрямую через докер минуя куб

зачем тогда кубернетус?)

но ведь что бы дженкинс смог работать с кубом ему надо скормить конфиги?

Kubernetes server endpoint Certificate of certificate authority Вот эти вроде

да конечною авторизоваться как минимум

Пошел пробовать это делать, не думаю что там все так просто будет

Эндпоинт кубера имеется внешний ИП?

Нет

да конечною авторизоваться как минимум

но pipeline оисывается все равно в ietm pipeline в дженкинсе? потому что я могу видеть работу с кубером в задаче со свободной конфигурацией, но вот видеть там где можно пайплайн прописать - я не могу(

да конечною авторизоваться как минимум

Я правиьно понимаю что сами докер образы не создаются если так собирать приложение? оно просто сразу деплоится и работает? Или нет?

https://github.com/google/metallb

Слезы радости!!!

Слезы радости!!!

да

да

А нет, никакого maglev, все тот же косяк с ecmp , когда все рехешится нафиг на каждый чих :(((

https://github.com/google/metallb

нид бгп

кто-то уже разберался как оно там архетиктурно все устроенно?

По опичанию просто анонсирует cluster IP, либо со всех нод либо только оттуда где есть под

нода упала - лови перестроение маршрута

Короче то что calico должно делать по уму или уже делает

сколько там схождение в бгп никто не помнит?

cluster IP - так это же вообще внутреняя сущность, не для внешнего трафика

они же писали что для того, что бы юзать type=LoadBalancer на baremetal

все закрываю любимую порнуху - иду изучать что там к чему

сколько там схождение в бгп никто не помнит?

во внутренней сети можно добиться десятков-сотен миллисекунд

это не лб, просто анонс наружу

анонс на ружу кластер айпи из серой зоны?

звучит странно

анонс на ружу кластер айпи из серой зоны?

нет

ты показываешь пул

из пула выделяются адреса

так пошел я сам читать доку

удачи. выглядит сырым правда.

ну они пишут что сильно янг потому альфа

ну они пишут что сильно янг потому альфа

это можно написать о, наверное, половине кубернетеса

с одной стороны альфа, с другой – динамично развивается

с одной стороны альфа, с другой – динамично развивается

посередке - суровая реальность

Ребят, а те кто дженкинс используют вы через внешний IP к куберу лезете или нет? Потому как у меня он выдает странное: Error testing connection externalIP:6443: java.net.ProtocolException: Unexpected status line:

там ascii символы после : идут

Хотя прошу прощения, там явно надо было указать https. Правда щас там другая проблема: Error testing connection https://externalIP:6443: Failure executing: GET at: https://externalIP:6443/api/v1/namespaces/devs/pods. Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. pods is forbidden: User "system:serviceaccount:devs:default" cannot list pods in the namespace "devs".

cluster IP - так это же вообще внутреняя сущность, не для внешнего трафика

Почему? Что плохого если и поды и сервисы станут доступны напрямую?

Почему? Что плохого если и поды и сервисы станут доступны напрямую?

ну начнем с того, что кластер айпи, в основном, это диапазон из серой стеки, айпи которого нигде не приземлены, вся магия рулится за счет iptables правил

гонять продакшин трафик через него - ссзб

магия выглядит примерно так

-A KUBE-SEP-4SQFZS32ZVMTQEZV -s 172.17.0.3/32 -m comment —comment "default/simpleservice:" -j KUBE-MARK-MASQ -A KUBE-SEP-4SQFZS32ZVMTQEZV -p tcp -m comment —comment "default/simpleservice:" -m tcp -j DNAT —to-destination 172.17.0.3:9876 -A KUBE-SERVICES -d 172.30.228.255/32 -p tcp -m comment —comment "default/simpleservice: cluster IP" -m tcp —dport 80 -j KUBE-SVC-EZC6WLOVQADP4IAW -A KUBE-SVC-EZC6WLOVQADP4IAW -m comment —comment "default/simpleservice:" -j KUBE-SEP-4SQFZS32ZVMTQEZV

и чем больше у вас сервисов - тем больше правил в нетфильтер

если Вы работали в провайдинге, то мне не надо рассказывать что такое нат таблица и маломальски приличный ппс

clusterip - это вообще такой кастыль для внутренего сервисдискавери

если Вы работали в провайдинге, то мне не надо рассказывать что такое нат таблица и маломальски приличный ппс

Это фиксится

Это фиксится

оно фиксится, но не до конца

никто не отменял лока пока пакетик бежит по цепочкам

не даром умные люди придумали ipset

оно фиксится, но не до конца

Xdp/kernel bypass

Xdp/kernel bypass

xdp вроде как вообще внешний проект

и надо отдельно накатывать

ну начнем с того, что кластер айпи, в основном, это диапазон из серой стеки, айпи которого нигде не приземлены, вся магия рулится за счет iptables правил

Я,знаю что,там внутри. Вопрос был что плохого так не делать и херачить все по честному , в открытую и анонсировать по bgp

xdp вроде как вообще внешний проект

nyet, 4.14 и посмотреть обертку типа cilium

я про нативный iptables

который юзает кубер

Я,знаю что,там внутри. Вопрос был что плохого так не делать и херачить все по честному , в открытую и анонсировать по bgp

я написал, почему, я считаю, что юзать clusterIP плохой практикой для прод трафика

Елси сервсс сделать LoclOnly никаких тыщ,цепочек не бужет

так при создании сервиса он автоматом создает кластерIP для "балансировки" трафика между подами этого сервиса