bebebe Здравствуйте! )))

здравтвуйте @beatlejyse , вы еще не решилсь дать телефон вашего начальника? :)

не задавайте глупых вопросов ))) я же не спрашиваю телефон вашего )))

однако Иван, вы борзый в эту пятницу

хуй вам всем, все я борзее

как лучше всего задеплоить load-balancer для кубера на bare-metal

А какие LB используешь?

а роль незапилил ?

запилил роли, раздеплоилось!

хуй вам всем, все я борзее

Ребят, а давайте наконец брачные игры, скрины из фейсбука, возмущение эйчарами, обсуждение транссексуалов и прочие смешинки примитивного уровня уйдут в личку и какие-нибудь соответствующие чаты, м?

А чего только меня сцитировал то?

давай всех

или ты думаешь я просто так написал это сообщение?

Меня, безусловно, умиляет, что ты думаешь, что если каким-то делом занято больше одного человека, то личной ответственности как бы и нет, но я просто взял последнее сообщение.

не надо брать просто последнее сообщение

тем более если ты не понял его посыла

А. Там был глубокий смысл. Извините

Ребят, а давайте наконец брачные игры, скрины из фейсбука, возмущение эйчарами, обсуждение транссексуалов и прочие смешинки примитивного уровня уйдут в личку и какие-нибудь соответствующие чаты, м?

+1

если подкладывать на кажую ноду /root/.aws/credentials и /root/.aws/config и не накидывать AIM ROLE на виртуалки - то опять не работает

https://github.com/aws/aws-sdk-go/blob/master/aws/credentials/shared_credentials_provider.go#L31

Делаю на любой ноде: docker run -it alpine sh Оттуда пингую интернет (ping 8.8.8.8) - нет пинга. Думаю, виноват кубер. Куда посмотреть?

Файрволы есть?

Файрволы есть?

Нет.

ufw, firewalld проверь

На ноде

ufw, firewalld проверь

Нет. Не установлено ничего такого.

работает ли правильно нат?

врублен при пакет форвадинг?

врублен при пакет форвадинг?

Форвардинг включен. Если запускаю с ключом —net=host, то начинает работать интернет.

смотри нат

iptables -L -vn -t nat

Пингом лучше не проверять, бывает ICMP не форвардится

еще момент

нет ли дропа деволтного на таблицу форварда

Попробуй телнетом на TCP или курлом

Пингом лучше не проверять, бывает ICMP не форвардится

wget тоже не работает.

ip a && ip r && iptables -L -vn && iptables -L -vn -t nat

в студию

а то /dev/astral заебал

Ооо. Сейчас залью куда-нибудь. В iptables нет цепочки DOCKER, которая обычно есть, когда не установлен кубер.

ip a && ip r && iptables -L -vn && iptables -L -vn -t nat

https://pastebin.com/kXSNLjgc

И не должно

Ща я поем

вот я не до конца понимаю, читаю кодец https://github.com/aws/aws-sdk-go/blob/master/aws/credentials/shared_credentials_provider.go#L31 это credential provider для aws который используется hyperkube'ом когда прокидывается параметр --cloud-provider=aws этот кодец ищет файлы ~/.aws/credentials и ~/.aws/config эти файлы можно создать руками, можно создать при помощи aws-cli configure, формат они имеют обычного ini файла я сгенерировал их на каждой из трех нод. но я не понимаю, hyperkube запускается, дальше aws библиотека пытается их прочить внутри докерконтейнера и каким образом эти файлы из хостовой системы дожлжны попасть в контейнер kubelet

а у меня до сих пор с bare-metal проблемки ( я аж из-за сроков обратно на azure перекатился ) кто как load-balancer настраивал на bare-metal? там надо чтоли отдельно nginx поставить и мапить на k8s?

а у меня до сих пор с bare-metal проблемки ( я аж из-за сроков обратно на azure перекатился ) кто как load-balancer настраивал на bare-metal? там надо чтоли отдельно nginx поставить и мапить на k8s?

Зачем nginx, можно HAProxy ?

и чем запрокси будет лучше нгинкс?

по определению

tcp balancing

у меня вообще https://github.com/yyyar/gobetween с екзек дискавери и там маленький скрипт на баше которые вытаскивает сервисы и ставит на балансинг

что именно не так с nginx stream для tcp балансинга?

ну хоть скажите, что в бесплатной версии нет нормального хелчекинга)

был жи

зачем говорить, я ж не на экзамене ?

nginx уже умеет в L4?

да

модуль stream

именно для балансинга l4

пару лет как в открытом доступе уже

всех с разморозкой

https://nginx.org/ru/docs/stream/ngx_stream_core_module.html

пример конфигурации listen containers-80 bind *:80 option httpchk GET /healthz http-check expect status 200 default-server inter 5000 rise 2 fall 2 server server_name IP:PORT check server server_name IP:PORT check listen containers-443 bind *:443 option httpchk GET /healthz http-check expect status 200 default-server inter 5000 rise 2 fall 2 server server_name IP:PORT verify none check check-ssl server server_name IP:PORT verify none check check-ssl

по-моему оригинальный вопрос всего этого вообще не касался

ну интересно же

оригинальный вопрос был, нужен ли балансер для нод k8s

а nginx-ingress-controller поддерживает stream модуль?

ERROR: S client not available

ye;ty

нужен

инжест нацелен на L7

если мне память не подводит

да, точн. чот тупанул

https://github.com/kubernetes/contrib/tree/master/ingress/controllers/nginx/examples/tcp

оригинальный вопрос был, нужен ли балансер для нод k8s

Ага. И как на это отвечает конфигурация HAP?

хотя чет есть

надо разбераться с вопросом

в contrib старая репа, сейчас отдельная для ingress

https://github.com/kubernetes/ingress

ну я к тому, что явно какой-то механизм даже через конфиг мап поиметь stream модуль есть, если нгинкс там собран с его поддержкой

https://github.com/kubernetes/ingress/tree/master/examples/tcp/nginx

еще бы оно работало ?

ну HAP точно работает)

там проще у сервиса объявить nodePort и забалансировать его внешним балансером

если он есть

в районе 30XXX можно статикой выбрать

всё равно для нод нужен балансер

у меня вообще балансер ходит на внутренний порт айпи контейнера

минуя сука таблицу ната

нода с балансером имеет маршруты на докер сети

flannel type host-gw

Мы всё что в k8s наружу не светим по дефолту иначе вся Network Policy Isolation идёт боком

все ноды в серой сети

вообще

только ноды с балансером имеют белый айпи

Создаются проекты типа istio.io чтобы как-то контролировать трафик, секюрити рэ йт лимиты и прочее между сервисами в коробке

это в первую очерель для внутренней сервайс меш сити

есть еще ликерд

той же оперы

Истио буду скоро пробовать, да