ну вообще ipsec давно в ядре

не думаю что там проблема прикрутить его

кстати, вон в докере с его сварм модом они о каком-то шифровании заявляли

спасибо, но мне пока нужно представлять, о чем вообще ведутся разговоры, а не решать вопрос использовать/не использовать

мм, гуглить начиная с overlay network. но к сожалению, термин очень многозначный. http://kubernetes.io/docs/admin/networking/ тут документация про k8s.

Да и vxlan тоже давно в ядре

Видимо есть. Какие-то ограничения в реализации.

Кстати, а подкиньте ресурсов, в которых сравнивается все это сетевое говнище. Потому что вы тут болтаете, а я понимаю про юзерспейс, понимаю про потери, но конкретную область работы weave (кроме как сеть-для-подов-кубернетеса) представить не могу.

Weave говорят, что у них есть крупные клиенты, которым нужен мультикаст, а остальные в него вроде не очень умеют

Так что жить будут. Но они диверсифицируются в интуитивный мониторинг, собираются его saas продавать

попробую что-нибудь найти, спасибо

да можно почитать просто что такое овердей нетворк

с точки зрения концепции

ну и инфу

NVGRE and VXLAN

NVGRE - это вендовый vxlan только в профиль

еще есть куча решений сугубо проприаторных

а еще sst

Да я мог бы прочитать официальную доку и по википедии выйти куда надо, просто сейчас времени совсем-совсем в обрез, мне бы хороший overview решений и в каких кейсах они используются в индустрии

ну я не видел таких обротных сравнений

есть смысл прочесть по каждой из тройке

хотябы для общего понимания

я не думаю, что вы сетевик и вам надо шибко глубоко

Да я даже тройку не знаю. Weave, Calico и ?

Нет, я тупой разраб, но мне дико некомфортно из-за того, что я дальше спеки tcp не забирался

flannel, наверное. только calico сильно отличается от остального

я про технологи иписал

calico и flannel теперь canal

а вейв и тп - это уже продукты на их основе

опен контрейл

нене, canal не настолько calico :)

Калико не оверлей, калико про безопасность

да их тонна

тру

калика может вроде flannel юзать

если я правильно помню

https://github.com/tigera/canal

калика может вроде flannel юзать

Да, поверх него работает

воть

значит я прав

канал - это "выкинуть из калико все кроме ipam + fw management и добавить data-plane из flannel" +VXLAN -BGP

имхо, получилась ерунда.

расскажите, пожалуйста, по каким словам искать: у меня есть кубернетис кластер, в нём есть deployment, порты подов этого деплоймента мне нужно высунуть наружу, чтобы на них мог заворачивать запросы извне прокси типа nginx tcp proxy / gobetween / haproxy, прокси стоит на отдельном сервере вне кластера

ingress

а если не только http?

совсем не хттп

можно сделать гейтвей ноду на хапрокси и генерить ей крнфиг по темплейту, читая что там за ендпоинты в etcd

угу, так примерно и хочу, вопрос в том, как лучше получить информацию о сети кубернетиса, видимо

то есть 10.46.0.0 вне кубернетиса (у меня сейчас внутри weave) для ноды вне кластера ничего не значат

обмазать туннелями чтобы хапрокси туда смог проксировать

в принципе, кластер будет небольшой, можно и обмазаться туннелями

ну или калико добавить везде,

я получается с тем же успехом могу и weave тот же поставить рядом с прокси?

я же правильно понимаю, что weave-kube с vxlan, а не udp внутри сейчас?

вот тут хз

vxlan - это тоже udp)

оу

и правда

так там же udp в качестве транспортного протакола

вы главное момент с mtu не проебите

калико цни >1.4 умеет мту

это хорошая новость

надо тестовый кластер поднимать на 14 и калико

пока у нас еще все в состоянии перезда

)

0.21.0 калико

спс

а вообще они же там должны уметь cni я про кубер

а для него калико уже плагин

я все правильно понимаю?

да плагин

но ещё нужна обвязка

а ну заебись

шоубиз

раньше они петонили

а в 1.4 сжали булки и переписали все на го

ну наговнячить на питоне проще

вон опенстек говнячат и говнячат

а там уже пора бы

попытки были переписать но пока закопали

я бы сказал похоронили

с посылом что опенстек не продукт, а фреймворк и вообще эталонная реализация концепта