Например в нативных приложениях. У нас есть костыль от ркн, когда лочат наши домены, у нас открывается новое зеркало, это все передается на безобидную страницу в виде хеша, а нативки туда лезут за адресом

И не только это, у нас часто появляются сервисы, потом удаляются

И это все очень геморно руками менеджить

ну тут я бы посоветовал сделать микросервис который будет выгребать ингресы и в нужном вам виде в json тдавать

потому что на то что вам надо врядли коробочное решение найдётся

Huan я правильно понял, что хотите поменять номад на кубер?

Huan я правильно понял, что хотите поменять номад на кубер?

Да

а зачем?

потому что на то что вам надо врядли коробочное решение найдётся

Я думал etcd это аналог консула

etcd это key-value хранилище

и почти ничего более

а зачем?

Главный архитектор решил. Плюс у нас есть связка haproxy+consul-template+nomad+consul. И в этом стеке есть беда. Когда сервис переезжает, консул темплейт пересобирает конфиг хапрокси и релоадит его. Но у незавершенных коннектов остается процесс старый, который ведет на несушествующий сервис и в итоге юзер получает 502

кажется проблема в haproxy, а не в вашем стеке

define переезжает

урл меняется?

видимо один из бекендов вываливается, пропадает из конфига, а текущие подключенные к haproxy клиенты, которые были отпроксированы на этот бекенд, получают 502

ааа ну в кубе такого не будет если сделать норм graceful shutdown у контейнера и проставить таймауты

etcd это key-value хранилище

Вот это и нужно

кажется проблема в haproxy, а не в вашем стеке

Да. Можно еще сделать прослойку в виде traefik, но этим стеком занимаюсь не я, хотят все переделать и выбрали кубик

урл меняется?

Урл не меняется, меняется бекенд

В кубике вроде как это решается, т.к. под может завалиться и перезапуститься на другой ноде, а сервис сам будет на том же ИПе

И нгинкс не будет релоадиться

конечно если контейнер умрет (например по памяти) то будет тоже но это уже нештатная ситуация

И нгинкс не будет релоадиться

да, как-то так

конечно если контейнер умрет (например по памяти) то будет тоже но это уже нештатная ситуация

Для этого я сделал автоскейл

И нгинкс не будет релоадиться

динамические обновления апстримов в нжинкс-ингресс вроде недавно сделали совсем

ингресс смотрит на айпи сервиса которое не меняется

а вот сервис уже раскидывает на поды

динамические обновления апстримов в нжинкс-ингресс вроде недавно сделали совсем

Интересно, спасибо, почитаю

И подскажите как запилить ингресс по вебсокету?

так а где там динамическое обновление апстримов в случае перезапуска пода на другой ноде?

а у тебя приложение в старом кластере не может разрегаться из консула раньше, чем помереть?

И тсп ингресс как настроить?

а у тебя приложение в старом кластере не может разрегаться из консула раньше, чем помереть?

А хз, им занимаются специально обученные люди, я туда не лезу

а зачем ингресс для тсп?

ингресс это L7

в случае тсп сразу на сервис направляй траффик

а зачем ингресс для тсп?

Я видел манифест для тсп

Я еще хочу почтарь в куб запихнуть

Нужный сервис для проекта

если ты видел манифест, то зачем спрашиваешь?

https://github.com/kubernetes/ingress-nginx/tree/master/docs/user-guide

Я видел в кубе при напиле ингресса)

https://github.com/kubernetes/ingress-nginx/blob/master/docs/user-guide/exposing-tcp-udp-services.md

тут вроде всё просто как табуретка

но вот зачем?

apiVersion: v1 kind: ConfigMap metadata: name: tcp-configmap-example data: 9000: "default/example-go:8080"

Такое пробовал, но не заработало)

так себе отчёт о проблеме

но вот зачем?

На одном проекте внекубовый сервис должен ходить в куб. Только не спрашивай зачем, у программистов свои тараканы)))

На одном проекте внекубовый сервис должен ходить в куб. Только не спрашивай зачем, у программистов свои тараканы)))

ну пусть ходит через сервис, причем тут ингресс?

Я б и на нодепорт сделал, но архитектор ставит задачи(

и задача звучит "сделай мне через ингресс"?

или "сделай мне доступ из внешнего сервиса в поды по tcp"?

Да, и говорит это возможно

или "сделай мне доступ из внешнего сервиса в поды по tcp"?

Ну не в поды, а на сервис

"сделай мне через ингресс потому что это возможно"?

чота так себе

Да, кстати так и сказал

ну сделай без ингресса, но скажи ему что с ингрессом

tcp и udp работает, разберись что не правильно делаешь

tcp и udp работает, разберись что не правильно делаешь

Попробую завтра

таам в деплойменте надо указать этот конфиг мап

а объяснить архитектору что ингресс тут лишняя сущность и точка отказа - не вариант вообще?

ngress controller uses the flags --tcp-services-configmap and --udp-services-configmap to point to an existing config map where the key is the external port to use and the value indicates the service to expose

ну пусть ходит через сервис, причем тут ингресс?

как из вне куба будешь ходить в сервис куба?

а объяснить архитектору что ингресс тут лишняя сущность и точка отказа - не вариант вообще?

Весла у меня, а рулит он

рулит-то пусть рулит

а донести до него что это бессмысленно - запрещено?

все нормально говорит "архитектор"

из вне куба не так много вариантов ходить в куб

это даже вредно, доп точка отказа, усложнение архитектуры на ровном месте и т.д.

Ну я так понимаю что игресс может все, что может нгинкс. А нгикс может проксировать тсп

как-то микроменеджментом попахивает - это у вас всегда так он делает или только в этом случае вдруг каприз приключился?

еще раз. как вы ему посоветуете ходить из сервиса вне куба в куб по тсп?

да хоть NodePort

ngress controller uses the flags --tcp-services-configmap and --udp-services-configmap to point to an existing config map where the key is the external port to use and the value indicates the service to expose

Можно ли проксировать два домена с одинаковыми портами?

нет

потому что на уровне tcp нет понятия "домен"

нод порт не очень штука, она делат тупую балансировку, и та же степень отказа ноды что и ингрес

если протокол умеет в SNI, то можно

хмм в каком месте та же степень отказа?

А нгинкс умеет sni

не будет ноды на которую проксируют не будет доступа на сервис

https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html

http://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html о, прикольно

так порт открывается на всех нодах

Завтра проверю

Спасибо

ну значит ему нужне на сервисе балансер который будет ходить на несколько нод, точно так же можно ходить на несколько ингрессов с тсп портами

https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html

а зачем этот модуль, не лучше и проще ли чтобы SSL терминейтился на самом ингрессе?

а зачем этот модуль, не лучше и проще ли чтобы SSL терминейтился на самом ингрессе?

nginx умеет терминейтить только http

зачем этим должен заниматься сам микросервис?

хмм а этот модуль для TCP SSL и раскидывания по хосту (в тсп пакете) на разные апстримы?

в некоторых случаях нодеопорт вообще вредная штука, пример и з жизни: флюенту можно указать несколько точек отправки, так вот если указать в качестве точек нодепорты разных хостов то при "плохо работающем" поде, флюент выбросит все хосты, т.к. нодепорт будет проксировать раундробином на сломаный под и все хосты выведутся

что-то я ничего не понимаю если честно

хмм а этот модуль для TCP SSL и раскидывания по хосту (в тсп пакете) на разные апстримы?

да

ага, погуглил - оказывается они tcp ssl termination только в плюс версии сделали https://docs.nginx.com/nginx/admin-guide/security-controls/terminating-ssl-tcp/