так у тебя ж адрес будет только на одном хосте?

а если мне надо балансить нагрузку?

Она будет баланситься после

или у тебя входящий трафик влезает в одну ноду?

Ну по сути да, твоя нода становится some kind роутером для этого сервиса

а где ж тут HA?

Если нода падает, vip перезапустится на другой ноде

сколько времени это займёт?

Автоматически выбираются годы с подами сервиса, что бы избежать оверхеда

кажется это зависит от скорости поднятия сервиса, так?

сколько времени это займёт?

Емнип меньше минуты

ну и так и так ты сможешь нагрузить не выше скорости интерфейса отдельно взятой ноды

В общем от вас только одно требуется - создать сервис с нужным annotation и externalip

Это с помощью romana, верно? И учет ip - сервис и выдачу ip вести самому, верно?

правильно я понимаю?

кажется это зависит от скорости поднятия сервиса, так?

Не уверен, но думаю что как под на первой ноде начинает считаться недоступным так сразу и переезжает

ну и так и так ты сможешь нагрузить не выше скорости интерфейса отдельно взятой ноды

Да, все верно

ну то есть metallb всё равно имеет смысл если у тебя трафика больше гигабита

ну или десятки

Это с помощью romana, верно? И учет ip - сервис и выдачу ip вести самому, верно?

Ага

в зависимости от железа

ну то есть metallb всё равно имеет смысл если у тебя трафика больше гигабита

Зависит от конкретных задач, не стоит забывать, что romana-vip в L2 работает

ну понятно что какие-то задачи она решает, иначе бы ей вообще никто не пользовался

ну то есть metallb всё равно имеет смысл если у тебя трафика больше гигабита

тут кстати кто-то уже упоминал kube-router, я пробовал штука весьма прикольная

он вроде очень в бете

хотя и металлб тоже

если допустим у вас две ноды из кластера (роутеры) торчат в интернет, то они будут как metallb работать, с балансировкой и прочими куртизанками :)

на прошлой работе было подобие металлб поднимаемое в полуручном режиме

ну это taint'ами надо выбираь

но да, это логично

любой ip объявленный в сервисах (external-ip или cluster-ip) - он сразу же появляется на ВСЕХ нодах и роутит куда нужно

но снаружи кластера это выглядит немного странно отправляешь ему who-has XX.YY.ZZ.AA а оно тебе в ответ 100500 arp reply присылает, но это в L2 опять же

Будь у меня маленький кластер, я бы его с радостью использовал. Но в большом немного страшно, так что подожду релиза :)

За такое хостер по шапке не надает?)

ну зависит от сети хостера конечно, плюс не будешь же ты чужые айпишники анонсить

хотя cluster-ip эт даа

запросто :)

Для плавающего ip в hetzner - норм

подскажите а можно как-то сервис выстовить наружу? Т.е. дать фиксированный порт

NodePort?

NodePort?

Да, но как я понимаю он открывает один порт из диапазона 30000-32767

NodePort?

а мне нужно дать фиксированный

host network

Кстати, а loadBalancerIP работает на bare metal?

пока нет

ну то есть да но в альфе

Да, но как я понимаю он открывает один порт из диапазона 30000-32767

Верно, сорри

господа, вот допустим я сгенерил новый ключ для kube-apiserver, добавив туда дополнительные SAN, и этот же ключ используется в —service-account-key-file. Соответственно, как я понимаю, старые токены для сервисаккаунтов станут недействительны и их нужно будет удалить для перегенерации, но уже запущенные поды, которые их используют, будут пытаться примонтировать старые и не мочь достучаться до аписервера. Как надежно удалить все поды, которые используют старые токены?

Или это все из пушки по воробьям и есть способы получше?

Раз так удачно ответили по поводу раздачи ip из подсетей, напомню про вопрос с iptables и закрытием всего на сервере по умолчанию, не трогая при этом правила куба

а в чём вопрос?

Подписываюсь, тоже интересует вопрос

как добавить правило в iptables на убунте, чтобы оно сохранилось, но не зааффектило роута кубика?

что то вроде того, закрыть на вход выход все чтобы ничего не сломалось:)

а мне нужно дать фиксированный

если почитать доку, то можно увидеть, что там вполне разрешено указывать конкретный порт

я например правки делаю прямо в /etc/iptables/rules.v4 (v6). Более гуманного способа не нашёл

если почитать доку, то можно увидеть, что там вполне разрешено указывать конкретный порт

а можно плиз ткнуть пальцем? честно читал, но возможно где-то упустил момент.

If you want a specific port number, you can specify a value in the nodePort field, and the system will allocate you that port or else the API transaction will fail (i.e. you need to take care about possible port collisions yourself). The value you specify must be in the configured range for node ports. https://kubernetes.io/docs/concepts/services-networking/service/#type-nodeport

Я это объяснил ему самому, и он даже понял и сделал выводы. Но, мне кажется, что в глубине души он сомневвается - у него на компьютере же всё работает.

Выводы - это про то, что ты конфликтный работник и он поместит тебя наверх списка кандидатов на увольнение?

Выводы - это про то, что ты конфликтный работник и он поместит тебя наверх списка кандидатов на увольнение?

Нет, он мне не начальник) не переживай

Выводы - это про то, что ты конфликтный работник и он поместит тебя наверх списка кандидатов на увольнение?

Боже как у вас всё ...эмм... не хорошо :) Какие-то списки...ужос

Боже как у вас всё ...эмм... не хорошо :) Какие-то списки...ужос

Эффективный менеджмент (ц)

? ну да. У нас, пока, все еще только начинается))

Ну в том и вопрос - можно ли одни поды в свап пихать, а чтоб всё остальное не страдало?

а зачем на всех нодах? ну запусти на одной или вообще запусти не в k8s

кто-нибудь кеш для гитлаб-раннеров настраивал? (не в облаке)

кто-нибудь кеш для гитлаб-раннеров настраивал? (не в облаке)

ну я сейчас этим делом занимаюсь

ну я сейчас этим делом занимаюсь

как в minio дефолтовый бакет создать - уже столкнулся?

кстать еще нет

кто-нибудь кеш для гитлаб-раннеров настраивал? (не в облаке)

Kubernetes раннеры у них кэш не умеют вообще

умеют. У меня только с дефолтовым бакетом проблема осталась

для поднятия кубер на coreos сам coreos надо собирать в кластер ?

а что означает "собрать кореось в кластер"?

минутку

Вот это https://coreos.com/os/docs/latest/cluster-architectures.html

когда мы имеем несколько серверов с coreos на которые натянут etcd2 и fleet