да

дык с каждым новым сервисом надо правила добавлять получается

куда?

правила iptables на web*

зачем?

это kube-proxy делает

т/е web* железные тачки с установленным кусочком кубернетса

прикольно

простите, опять влезу - я всеже слеповат стал к пятнице https://github.com/sttts/kubernetes-dind-cluster/blob/master/config.sh#L9 Я нашел сертификаты и все остальное ))) Всем спасибо

@pipopolam а ты сам запускаешь kube-proxy в контейнере на железной тачке или еще ставишь kube-apiserver, чтобы он запустил kube-proxy ?

ты сейчас какую-то лютую хуету говоришь

аписервер вообще ничего не запускает

а сори

kubelet

запускать может только kubelet, если ему положить манифестов и сказать, куда смотреть

anyway, на машинках только под фронт kubelet не нужен

значит сам :)

проще взять ранит/доскер/поттерингд

прикольная схема с отпочкованием kube-proxy!

ну и кстати пох в какой сети поды

главное сеть не забыть оставить

?

flannel/canal/etc.

а, да

weave на фронтах тоже приходится держать

ну важно чтобы сервис был в маршрутизируемой сетке

weave is kinda slow

http://www.generictestdomain.net/docker/weave/networking/stupidity/2015/04/05/weave-is-kinda-slow/

а фланель кинда лют

зачем это на фронтах ?

да знаю, что оно по-всякому работает. но wevae у меня теперь ассоциируется с kinda slow :)

когда надо сперва запустить фланель, потом доскер с —bridge=flannel0, етц

если сеть для сервисов доступна для фронтов, зачем weave ?

потому что поды маршрутизируются через CNI

а CNI (у меня) делает weave

а не

ясно

с сервисами это никак не пересекается

я знаю :) можно было бы и без weave мне кажется

если сервера кластера кубера известны, прописать их в iptables на фронтах

в качестве cluster_ip указать сеть которая под него выделяется

тогда всё хозяйство наружу торчать будет.

да и так торчит

и кстати совсем не будет

я могу для подов какую хош сеть прописать

она внутри кубера будет крутится через CNI

а фронты вообще ничего о знать не будут и никакого weave/flannel/ovs там не надо будет

правда через цепочку cluster_ip два раза проходить прийдется

и kube-proxy выкинуть из фронтов можно будет

@pipopolam кароче я придумал как тебе тут все оптимизировать ))

rawdnat только нужен

;)

мляя.. прийдется все же раскуривать эти ваши ингрессы с шаблонами для nginx, keepalived

как скучно вы живете без разделения на dmz хотя бы :)

хорошо тебе, если у тебя свой DC

а у меня все железо арендованное

а в ваших облаках разве нельзя тачки с фронтами выносить в dmz ?

или это дорого ?

да нет никаких облаков

singlehop.com

selectel.ru

и прочие такие ребята

ну селектел че не может

легко ж можно нарезать вланы внутри облака

должны быть способы усложнить тебе жизнь

т/е сделать более безопасной инфраструктуру :)

тысячи их и без того

ERROR: S client not available

Наши победили?) http://www.infoworld.com/article/3118345/cloud-computing/why-kubernetes-is-winning-the-container-war.html

Kubernetes - это ангуляр из мира шедулеров

@pipopolam и все-таки почему ты не используешь ingress и nginx-ingress-controller ?

а зачем?

какой профит?

need moar pods?

пока не знаю в чем профит. только начал себе моск с ним ломать. просто я пока вижу, что работает он и без облака

но зато сколько геммороя

начать с VRRP

если бы оно уже было в моей инфраструктуре - это одно

но городить это ТОЛЬКО ради ингресса...

хрен его знает

но даже когда ingress нагенерит конфиг для балансера, все-равно один фиг на балансере надо поднимать fleet/weave ?

на ингрес-балансере придется весь кубернетес поднимать

ну всмысле kubelet

иначе под туда как попадет?

And you can reach the /foo and /bar endpoints on the publicIP of the VM the nginx-ingress pod landed on

ну да

жесть какая

чеж творится то. нах мне кластер кубернетс если я не могу до него достучаться из dmz vlana

только nodeport остается

блин

зато у тебя есть вланы ;)

или как-то можно fleet натянуть на два влана.... хз

таппц

я хочу kubernetes :) запарило руками контейнеры эти как блох ловить

что-то тут не так. должен быть нормальный способ :)

видимо раз есть у меня влан и ноки прийдется их долбать, чтобы было как у гугла :)

или vxlan как-то растягивать на два влана если это возможно

первый путь к решению проблемы - описать её

ты знаешь :) c vnc-ки достучаться до кластера кубера который живет в своем влане

что такое vnc?