У вас же впн, т.е. китаецы врядли там окажутся

Но, собственно, это вопрос бизнеса,сколько он готов тратить в секурити

это я про случай когда произошла утечка впн-ключа (допустим оператор сидел с необновленной винды), этот ключ попал в нехорошие руки и он увидел, что там стоит необновленный сервис с дырой ? конечно это ситуация в вакууме, но потенциально опасный случай

и лучше его избежать на этапе проектирования инфраструктуры, потому что потом все забудут имхо

Пусть тогда ещо пароьь из смс вводит :)

?

тогда тебе надо ждать istio стабильного релиза - там сайдкарами к каждому сервису цепляется прокси который трафон контролирует, ну и через iptables пускает куда только надо :)

Если у меня уже поднят кластер, где используется интернет для общения нод, и я хочу сделать между ними внутреннюю сеть через свич... На сколько сложно перенастроить?

imagePullPolicy: Always Почему не обновляется образ у подов? Используется тэг image:v2

imagePullPolicy: Always Почему не обновляется образ у подов? Используется тэг image:v2

Если у тебя Deployment, то нужно делать kubectl set image ...

Если у тебя Deployment, то нужно делать kubectl set image ...

Пробовал. Но ничего не происходит. Вывода никакого нет...

Помогает только удаление пода. Он потом заново его создаёт с новым образом. Это же должно автоматически происходить?

тег не меняется?

Помогает только удаление пода. Он потом заново его создаёт с новым образом. Это же должно автоматически происходить?

нужно тег новый каждый раз создавать и тогда под обновится, у меня лично в этом проблемка была

тег не меняется?

Нет. Тэг всегда один. Просто, это тестинг-окружение. Там в день по 15 коммитов идёт. Если каждый раз новую версию создавать - это очень много образов получится...

тогда только удалять pod, deployment делает обновление replica set только при наличии изменений в спеке

тогда только удалять pod, deployment делает обновление replica set только при наличии изменений в спеке

А если вставить лэйбл с хэшем?

Это поле не помечено, как неизменяемое?

А если вставить лэйбл с хэшем?

annotation вроде работал, лейбл может тоже сработает

мм 1.8 что ли релизнулась?

мм 1.8 что ли релизнулась?

нет, альфа

Пробовал. Но ничего не происходит. Вывода никакого нет...

пулл полиси точно не влияет. ЕСли изменяет image то прросиходит rollingUpdate деплоя

Скорее всего ошибка в типе апдейта

imagePullPolicy это указание кублету, в каком случае выполнять docker pull

Гайс, а какую сеть посоветуете? - что нынче самое быстрое / модное / молодежное?

1.7.1 via kubeadm, weave

ты не отключал CNI ?

как я мог отключить CNI, если kubeadm только с ним и работает?

Гайс, а какую сеть посоветуете? - что нынче самое быстрое / модное / молодежное?

http://machinezone.github.io/research/networking-solutions-for-kubernetes/ я вот сам только рисечу этот вопрос (если я правильно тебя понял)

как я мог отключить CNI, если kubeadm только с ним и работает?

не знаю, у меня только после этого все завелось: https://github.com/kubernetes/kubeadm/issues/212#issuecomment-290628546 после этого kubectl apply -f "https://cloud.weave.works/k8s/net?k8s-version=$(kubectl version | base64 | tr -d '\n')" и все поднялось

http://machinezone.github.io/research/networking-solutions-for-kubernetes/ я вот сам только рисечу этот вопрос (если я правильно тебя понял)

Да, читал но там только flannel, кстати есть перевод на хабре: https://habrahabr.ru/company/flant/blog/332432/

Хотелось бы сравнения host-gw с weave и calico

calico это решение от циски, и оно пропаретарное) weave-net проигрывает фланелу. Его приимущество в наличии внутренней шифрации, но при ней просадка по сети огромна (а сеть и так узкое место докера)

host-gw это тип работы фланела

вот это исчерпывющий ответ :)

В сети есть всякие презы и сравнения calico с flannel и weave (когда оно их уделывает) ,но я им не верю, учитывая что все они делались циско и его партнёрами

как всегда прямо в точку, спасибо

weave - наверное хорошо, когда у тебя сеть наружу смотрит

а так, пожалуй остановлюсь пока на host-gw

Ещё чуток себя поправлю Сеть узкое место у докера если это не HostNetwork.

в смысле?

Ну у докера есть разные типы сети

одна из них host-net когда докер вешается на на мост, а на прямую на ethernet контроллер хоста

субсно так кубадм размещает контроллер

То есть ты хотел сказать net=host? То есть в тот же namespace что и хост

без виртуализации сетевого стка

ну да

понятно :)

@Leorent я кстати нашел решение, как заставить kubernetes вешать айпишники на внешние интерфейсы для подов

оказалось проще простого: https://gist.github.com/kvaps/889fe2b9eeab9f205c818ab1d1af56a9

И этот же айпишник указываю как ExternalIP для сервиса

Дык ты ено в нецмспайс хоста гкидешь целиком и пидом и сетью)

да, но все что этот контейнер делает, так это назначает ip адрес хосту

или удаляет его при завершении

соответсвенно если этот контейнер переедет на другой хост, переедет и айпишник

а за жизнью этого контейнера (ака айпишника) следит kubernetes, что собственно мне и требовалось

в смысле само приложение в другом pod находится, этот только ip вешает

в смысле само приложение в другом pod находится, этот только ip вешает

Да вы батенька знаете толк в извращениях) А так круто) хорошее решение

))

как только теперь два pod связать, что бы вместе запускались

хотя наверное это и не требуется

как только теперь два pod связать, что бы вместе запускались

через deployment или daemonset

как только теперь два pod связать, что бы вместе запускались

Посмотри Helm

ERROR: S client not available

https://github.com/kubernetes/helm

о, шаблоны - круто!

через deployment или daemonset

да, но deployment - это же всего лишь pod + replicaset. В данном случае задачка немного другая: Допустим у меня есть deployment приложения с тремя репликами размазанными на три ноды, а я хочу запустить еще один pod, который запустится в количистве не больше одного на одной из этих самых трех нод.

Похоже что этого можно с помощью labels добиться, но тут как раз нужно понять как правильно это все описать

Не понял, что ты хочешьсделать?

от всех этих абстракций голова кругом идет уже идет :)

Ты просто мало курил)

Не понял, что ты хочешьсделать?

смотри, есть 10 нод, - я создаю deployment, в котором описано приложение ABC и 3 реплики для него - я создаю сервис с ExternalIP который редиректит весь трафик на эти три контейнера, так? - теперь я хочу создать еще один deployment ABC-IP, который запустится на одной из тех нод, на который работает приложение ABC

пишишт лабел на три ноды kubectl lavbel no <имя ноды> ABC=true

и пишишь в деплой nodeSelector: abc: "true"

Ты просто мало курил)

возможно, но с каждым разом все интересней и интересней, мне кажется я уже крепко подсел на эту дурь :)

тогда шелдулер будет запускать поды только на нода с лейблом abc: true

http://blog.kubernetes.io/2017/03/advanced-scheduling-in-kubernetes.html

ок, а возможно label'ы назначать динамически? - мол запустилось приложение ABC, и ноде присвоился label run-app-ABC ?

после этого использовать его для деплоя следующего приложения

Делай запрос в API через serviceaccount

или грубо говоря сказать: "запустись там же, где и ABC"

То есть под запускается, получает данные о ноде на которой запущен и делает запрос в api сервер с постановкой лейбла.

Самое главное отрабоать логику, что бы эти лейблы чистить

-)

чем вы проводите нагрузочное тестирование на ваш кластер?

хайлоада нить иди

ab, wrk, jmeter, gatling, blazemeter taurus, yandex.tank

да, чет не нравится мне это решение, ес честно

почитай статейку выше) Должна помочь. У тебя как раз нужная задачка

locust.io

ab, wrk, jmeter, gatling, blazemeter taurus, yandex.tank

а ещё есть yandex.cocain )

ок, сча займусь

так вот сначала yandex.cocain потом yandex.tank -)

реально из вышеописанного только ab и jmeter постоянно пользую. гатлинг очень хорош, но не хватает декларативного описания сценариев