хотя если с чистых 10Г (да я знаю там 10 г не будет) на все оверлеи и шифрование потерять 2 гигабита - это вполне терпимо

ну ты еще скажи что kvm это минус в производительности

к сожалению, не всегда пара процентов.

ввод/вывод минус 10% в легкую

а если шифрование ядерное + поддержка процессора есть. то с этим вполне можно жить

в реалиях еще накиньте пару

можно, вы меньше потеряете)

а если шифрование ядерное + поддержка процессора есть. то с этим вполне можно жить

+

вы посомтрите на решения которые могут 10Г с его ппс шифровать хотябы на честные 9

ценник вас удивит

Кстати, а подкиньте ресурсов, в которых сравнивается все это сетевое говнище. Потому что вы тут болтаете, а я понимаю про юзерспейс, понимаю про потери, но конкретную область работы weave (кроме как сеть-для-подов-кубернетеса) представить не могу.

а она больше ни для чего и не нужна

вот и получается либо теряешь 70% с шифрованием в юзерсейсе, либо 10% но в ядре

спасибо, но мне пока нужно представлять, о чем вообще ведутся разговоры, а не решать вопрос использовать/не использовать

я выберу ядерное решение. потому что в реалиях 10G очень редко бывает.

я вас удивлю)

все от проекта зависит

хотя не страшны 10Г страшны все его доступные ппс

вот и получается либо теряешь 70% с шифрованием в юзерсейсе, либо 10% но в ядре

http://www.intel.ua/content/dam/www/public/us/en/documents/white-papers/aes-ipsec-performance-linux-paper.pdf

ну вообще ipsec давно в ядре

не думаю что там проблема прикрутить его

кстати, вон в докере с его сварм модом они о каком-то шифровании заявляли

спасибо, но мне пока нужно представлять, о чем вообще ведутся разговоры, а не решать вопрос использовать/не использовать

мм, гуглить начиная с overlay network. но к сожалению, термин очень многозначный. http://kubernetes.io/docs/admin/networking/ тут документация про k8s.

Да и vxlan тоже давно в ядре

Видимо есть. Какие-то ограничения в реализации.

Кстати, а подкиньте ресурсов, в которых сравнивается все это сетевое говнище. Потому что вы тут болтаете, а я понимаю про юзерспейс, понимаю про потери, но конкретную область работы weave (кроме как сеть-для-подов-кубернетеса) представить не могу.

Weave говорят, что у них есть крупные клиенты, которым нужен мультикаст, а остальные в него вроде не очень умеют

Так что жить будут. Но они диверсифицируются в интуитивный мониторинг, собираются его saas продавать

попробую что-нибудь найти, спасибо

да можно почитать просто что такое овердей нетворк

с точки зрения концепции

ну и инфу

NVGRE and VXLAN

NVGRE - это вендовый vxlan только в профиль

еще есть куча решений сугубо проприаторных

а еще sst

Да я мог бы прочитать официальную доку и по википедии выйти куда надо, просто сейчас времени совсем-совсем в обрез, мне бы хороший overview решений и в каких кейсах они используются в индустрии

ну я не видел таких обротных сравнений

есть смысл прочесть по каждой из тройке

хотябы для общего понимания

я не думаю, что вы сетевик и вам надо шибко глубоко

Да я даже тройку не знаю. Weave, Calico и ?

Нет, я тупой разраб, но мне дико некомфортно из-за того, что я дальше спеки tcp не забирался

flannel, наверное. только calico сильно отличается от остального

я про технологи иписал

calico и flannel теперь canal

а вейв и тп - это уже продукты на их основе

опен контрейл

нене, canal не настолько calico :)

Калико не оверлей, калико про безопасность

да их тонна

тру

калика может вроде flannel юзать

если я правильно помню

https://github.com/tigera/canal

калика может вроде flannel юзать

Да, поверх него работает

воть

значит я прав

канал - это "выкинуть из калико все кроме ipam + fw management и добавить data-plane из flannel" +VXLAN -BGP

имхо, получилась ерунда.

расскажите, пожалуйста, по каким словам искать: у меня есть кубернетис кластер, в нём есть deployment, порты подов этого деплоймента мне нужно высунуть наружу, чтобы на них мог заворачивать запросы извне прокси типа nginx tcp proxy / gobetween / haproxy, прокси стоит на отдельном сервере вне кластера

ingress

а если не только http?

совсем не хттп

можно сделать гейтвей ноду на хапрокси и генерить ей крнфиг по темплейту, читая что там за ендпоинты в etcd

угу, так примерно и хочу, вопрос в том, как лучше получить информацию о сети кубернетиса, видимо

то есть 10.46.0.0 вне кубернетиса (у меня сейчас внутри weave) для ноды вне кластера ничего не значат

обмазать туннелями чтобы хапрокси туда смог проксировать

ERROR: S client not available

в принципе, кластер будет небольшой, можно и обмазаться туннелями

ну или калико добавить везде,

я получается с тем же успехом могу и weave тот же поставить рядом с прокси?

я же правильно понимаю, что weave-kube с vxlan, а не udp внутри сейчас?

вот тут хз

vxlan - это тоже udp)

оу

и правда

так там же udp в качестве транспортного протакола

вы главное момент с mtu не проебите

калико цни >1.4 умеет мту

это хорошая новость

надо тестовый кластер поднимать на 14 и калико

пока у нас еще все в состоянии перезда

)

0.21.0 калико

спс

а вообще они же там должны уметь cni я про кубер

а для него калико уже плагин

я все правильно понимаю?

да плагин

но ещё нужна обвязка

а ну заебись

шоубиз

раньше они петонили

а в 1.4 сжали булки и переписали все на го

ну наговнячить на питоне проще

вон опенстек говнячат и говнячат

а там уже пора бы

попытки были переписать но пока закопали

я бы сказал похоронили

с посылом что опенстек не продукт, а фреймворк и вообще эталонная реализация концепта