.эж

жз.

.жз

.жз88888888888888888888п8к48г4к8г4

Дети телефон заполучили? :)

^ лучшая реклама, которая у нас была

Дети телефон заполучили? :)

да, дико извиняюсь

оставил незалоченный ноутбук

Киньте пожалуйста ссылкой, как в Calico запустить мультикаст между подами (если это вообще возможно), сам как-то не могу найти

а он там есть?

Не уверен, возможно можно как-то включить pim, об этом и речь

https://github.com/kubernetes/kubernetes/releases/tag/v1.8.0

http://blog.kubernetes.io/2017/09/kubernetes-18-security-workloads-and.html

что такое SIG?

что такое SIG?

https://github.com/kubernetes/kubernetes/wiki/Special-Interest-Groups-(SIGs)

ясно, спасибо

а для каких вещей в поде необходимо явно декларировать ports.containerPort ?

я для всех описывал. https://kubernetes.io/docs/api-reference/v1.7/#containerport-v1-core containerPort integer Number of port to expose on the pod's IP address. This must be a valid port number, 0 < x < 65536.

думаю не посадишь сервис на порт, который не описан

но я не знаю, будет ли порт внутри пода доступен через 127.1 если его не описать

сервису в целом пофиг насколько я понимаю

"но это не точно" (С) : ) пойду доки читать и искать инфу

хочешь сказать что можно в сервисе сослаться на неописанный порт?

я для всех описывал. https://kubernetes.io/docs/api-reference/v1.7/#containerport-v1-core containerPort integer Number of port to expose on the pod's IP address. This must be a valid port number, 0 < x < 65536.

Посадишь. при expose ставишь флаг —port. Описание ports в контейнере служит для автоматического проброса портов на сервисе.

У меня в подах вообще нигде порты не описаны. Только сервисы. И работает.

бардак! =)

бардак! =)

Пердак

но я не знаю, будет ли порт внутри пода доступен через 127.1 если его не описать

А это, мне кажется, зависит только от того, работает ли какая-то программа с этим портом. Будет странно, если в контейнере nginx, и из этого контейнера будет недоступен, например 127.0.0.1:80

Кто kubespray пользуется? Как теперь (в последнем релизе) calico задать ip адрес?

Раньше calico.env был с параметром: CALICO_IP="{{ ip | default(ansible_default_ipv4.address) }}"

Народ, а поделитесь линком на докеровский чятик? UPD: спасибо, нашёл

что-то по моим ощущениям в 1.8 переделали все

(судя по changelog)

коллеги, есть ли тут кто-нибудь, кто проводил секурный аудит инфраструктуры на кубе? FIPS, PCI-DSS, аналоги?

https://t.me/secinfosec тут мб есть кто

из нового в 1,8 кубере

Сеть В kube-proxy добавлена альфа-версия поддержки режима IPVS для балансировки нагрузки (вместо iptables). В этом режиме kube-proxy следит за сервисами и endpoints в Kubernetes, создавая netlink-интерфейс (virtual server и real server соответственно). Кроме того, он периодически синхронизирует их, поддерживая консистентность состояния IPVS. При запросе на доступ к сервису трафик перенаправляется на один из подов бэкенда. При этом IPVS предлагает различные алгоритмы для балансировки нагрузки (round-robin, least connection, destination hashing, source hashing, shortest expected delay, never queue). Такую возможность часто запрашивали в тикетах Kubernetes, и мы сами тоже очень её ждали. Среди других сетевых новшеств — бета-версии поддержки политик для исходящего трафика EgressRules в NetworkPolicy API, а также возможность (в том же NetworkPolicy) применения правил по CIDR источника/получателя (через ipBlockRule).

думаю ко 2 версии будет уже юзабельно

это не может не радовать

Сеть В kube-proxy добавлена альфа-версия поддержки режима IPVS для балансировки нагрузки (вместо iptables). В этом режиме kube-proxy следит за сервисами и endpoints в Kubernetes, создавая netlink-интерфейс (virtual server и real server соответственно). Кроме того, он периодически синхронизирует их, поддерживая консистентность состояния IPVS. При запросе на доступ к сервису трафик перенаправляется на один из подов бэкенда. При этом IPVS предлагает различные алгоритмы для балансировки нагрузки (round-robin, least connection, destination hashing, source hashing, shortest expected delay, never queue). Такую возможность часто запрашивали в тикетах Kubernetes, и мы сами тоже очень её ждали. Среди других сетевых новшеств — бета-версии поддержки политик для исходящего трафика EgressRules в NetworkPolicy API, а также возможность (в том же NetworkPolicy) применения правил по CIDR источника/получателя (через ipBlockRule).

оно отдельным проектом где-то было

ну оно уже в инкубаторе

ну движение в эту сторону не может не радовать

это да

хороший повод обновиться с 1.6. до 1.8 )

Всем привет! Народ, а подскажите, кто как живёт? меня интересует такой момент - я из кубернетовского кластера публикую какой-то порт какого-то пода (сервиса, деплоймента, не важно). Далее этот порт у меня публикуется на айпишниках всех нод (всех трёх). и можно стучаться на сервис по этому порту стучась на любую ноду. если я натравлю весь траффик на айпишник первой ноды и эта нода упадёт, то достучаться до сервиса я не смогу, хотя он будет доступен на айпишниках других нод. Интересны ваши решения или соображения на эту тему)))

Всем привет! Народ, а подскажите, кто как живёт? меня интересует такой момент - я из кубернетовского кластера публикую какой-то порт какого-то пода (сервиса, деплоймента, не важно). Далее этот порт у меня публикуется на айпишниках всех нод (всех трёх). и можно стучаться на сервис по этому порту стучась на любую ноду. если я натравлю весь траффик на айпишник первой ноды и эта нода упадёт, то достучаться до сервиса я не смогу, хотя он будет доступен на айпишниках других нод. Интересны ваши решения или соображения на эту тему)))

внешний же loadbalancer

Выше предлагали VRRP по количеству смотрящих в интернет нод + можно сделать round-robin DNS с несколькими A-записями, но будут ли клиенты своевременно обновлять айпишник - неизвестно.

Про VRRP лучше прямо по этой аббревиатуре выше поискать, я в этой штуке не особо смекаю и могу сказать не совсем верную вещь.

ок. спасибо ))

Round-robin по DNS будет продолжать ходить на упавшую ноду, если сам сервак не чистит запись недоступной ноды, то есть часть траффика может стучаться в недоступную область. Ну и да, кэшируется IP. VRRP как вариант, но уже поверх балансеров. Мне кажется достаточно на первое время простого балансера для нод, типа HAProxy если on-prem, и. т.п.

Round-robin по DNS будет продолжать ходить на упавшую ноду, если сам сервак не чистит запись недоступной ноды, то есть часть траффика может стучаться в недоступную область. Ну и да, кэшируется IP. VRRP как вариант, но уже поверх балансеров. Мне кажется достаточно на первое время простого балансера для нод, типа HAProxy если on-prem, и. т.п.

там все еще хуже. ответы РР кешируются

1. Можно принудительно запретить кеш на не хозяинах зоны

2. Обновлять A в динамике не проблема

Всем привет! Народ, а подскажите, кто как живёт? меня интересует такой момент - я из кубернетовского кластера публикую какой-то порт какого-то пода (сервиса, деплоймента, не важно). Далее этот порт у меня публикуется на айпишниках всех нод (всех трёх). и можно стучаться на сервис по этому порту стучась на любую ноду. если я натравлю весь траффик на айпишник первой ноды и эта нода упадёт, то достучаться до сервиса я не смогу, хотя он будет доступен на айпишниках других нод. Интересны ваши решения или соображения на эту тему)))

type: LoadBalancer, не?

Так один внешний адрес же получается

type: LoadBalancer, не?

не сталкивался пока. а не кинете ли вы в меня ссылочкой, где это для тупых разжёвывалось бы?

type: LoadBalancer, не?

для этого нужна внешняя инфраструктура, не все живут в aws/gce

не сталкивался пока. а не кинете ли вы в меня ссылочкой, где это для тупых разжёвывалось бы?

Я тоже тупой, так что не то чтобы могу помочь с этим.

Сам вот только-только сумел поднять свое барахло в GCE.

А кто-то своё GCE строит с Блекджеком)

для этого нужна внешняя инфраструктура, не все живут в aws/gce

Разве? Я думал это на уровне kubernetes рулится.

Разве? Я думал это на уровне kubernetes рулится.

Не всё.

кубернетес не в силах просто взять и сказать внешней сетке, что у его нод одинаковые айпишники

и что их еще надо раунд робином перебирать

Ну так а если ты делаешь Service type: loadBalancer loadBalancerIP: ext_ip ?

Например, выставляя traefik туда

в этом случае он создает в GCP балансировщик, его можно через обычную панель посмотреть

Всем привет! Народ, а подскажите, кто как живёт? меня интересует такой момент - я из кубернетовского кластера публикую какой-то порт какого-то пода (сервиса, деплоймента, не важно). Далее этот порт у меня публикуется на айпишниках всех нод (всех трёх). и можно стучаться на сервис по этому порту стучась на любую ноду. если я натравлю весь траффик на айпишник первой ноды и эта нода упадёт, то достучаться до сервиса я не смогу, хотя он будет доступен на айпишниках других нод. Интересны ваши решения или соображения на эту тему)))

nginx-ingressController Для вывода зверинца в мир. NodePort сервисы пока не мучал

Я не знаю деталей как это у них внутри реализовано, но, конечно, это виртуальный айпишник, и у нескольких нод не может быть один и тот же айпишник по понятным причинам

Я не знаю деталей как это у них внутри реализовано, но, конечно, это виртуальный айпишник, и у нескольких нод не может быть один и тот же айпишник по понятным причинам

подозреваю что это VRRP в том или ином виде

aws + type LoadBalancer + external-dns (плагин для кубернетса)

сервис ставится на балансинг в амазоновском елб, а экстернал-днс делает алиас на этот лб в роуте53

Какой у вас проект или где работаете? Агрегатор билетов В чём вы специалист? Бекенд разработчик Откуда вы? Киев Как узнали про группу? Голанг чат #whois

#whois Проектов много, аутсорсинговая компания php, yii2 Не знаю) Интересует тема Великий Новгород Из группы golang ru

#whois ▫️Какой у вас проект или где работаете? - проект многоканальная рассылка ▫️В чём вы специалист? - php, java SE, 1c ▫️Чем можете быть интересны или полезны сообществу? - чем смогу, помогу :) ▫️Чем интересно сообщество вам? High load ▫️Откуда вы? - Москва ▫️Как узнали про группу? - golang_ru

походу сейчас попрет

Всем привет, новоприбывшим

Привет!

а что случилось? почему попрет?

ну три человека подряд с одной тусовки)

ай, вспомним, что тут было, когда на хабре про группы написали :)

человек 20 пришло

)

а тут в голенг ру написали

это странно, потому как половина старожилов го сидит тут. И наоборот. Мы с гошниками давно дружим

гыгы

Какой у вас проект или где работаете? тг боты, микросервисы В чём вы специалист? Бекенд разработчик (java, go) Откуда вы? Мск Как узнали про группу? golang_ru #whois