это не важно

а кто меньший изврат смог, у меня например core switch без bgp, только ospf, пришлось анонсить в bird bgp а от туда уже ospf, calico само могёт ospf или как-то попроще? :)

важно что я не могу найти podCidr )

важно что я не могу найти podCidr )

Посмотри роуты на ноде, один из них будет особенный)

# ip ro sh | grep 116 blackhole 10.116.1.0/26 proto bird только если это )

хотя мне подойдет думаю

Вроде бы оно и есть.

а кто меньший изврат смог, у меня например core switch без bgp, только ospf, пришлось анонсить в bird bgp а от туда уже ospf, calico само могёт ospf или как-то попроще? :)

не умеет, но у них в родмапе было про оспф

но тебе какая разница, у тебя же всё равно RR?

хочу парой строк в конфиге калико, прошу прощения, а при чём здесь рефлектор?

ну чтобы калико не хакать

хотя разница небольшая

хочу парой строк в конфиге калико, прошу прощения, а при чём здесь рефлектор?

Ну там bird, конфиги которого генерятся confd по данным из etcd.

Темплейты достаточно простые, можно собрать свой образ с ними, или в какой-нибудь конфигмап свои темплейты положить.

я видимо слишком ленив, чтобы таким заниматься я второй месяц "добавляю" в ингресс свои модули, а ты предлагаешь темплейты менять

хыхы

Да там темплейт реально строчек на двадцать) К тому же, тебе даже толком генерить не надо будет, просто статический кусок с ospf вставить.

а темплейт прям в образе? поддерживать-то (обновлять) тоже не хочется, попробую конфигмапом прикрутить

>а темплейт прям в образе Ага.

Вообще-то, там их, наверное, около трёх) Но они рили маленькие.

огонь, главное теперь тестить перед обновлением пасибки

Юр велкам)

Кто-нибудь в курсе как решить вопрос с конфигурацией баз: к примеру, у нас 10-к микросервисов и все хотят mysql. Вариант первый: прописать каждому и при смене кред перевыкатить, вариант 2: один secret на namespace который подцепляют все. Но так-как все через ENV, до перезапуска приложение не подхватит изменения… Вариант 3: поднять vault, дать токен и пусть крутится как хочет)

У меня волт и каждому аппу свой сервис нейм

А в волте уже политики

Приложение нативно ходит или через confd/etc..?

Приложения по-разному. Некоторые умеют переменные окружения, некоторые конфиг

Сами приложения волт у меня не умеют.

Работаю через инит контейнеры

Эм,через init мы env же не прокинем. Только если конфиг в них генерить

Все так

Кто-нибудь в курсе как решить вопрос с конфигурацией баз: к примеру, у нас 10-к микросервисов и все хотят mysql. Вариант первый: прописать каждому и при смене кред перевыкатить, вариант 2: один secret на namespace который подцепляют все. Но так-как все через ENV, до перезапуска приложение не подхватит изменения… Вариант 3: поднять vault, дать токен и пусть крутится как хочет)

10-к это 10 или 10 000?)

10000 - 10к, а это просто десяток)

Окай, я уж думал чего там можно было так намикросервисить)

А вот скажите мне темному, какой профит от vault? Ну типо vs простая конфиг мапа.

Чтобы из сети предприятия были маршруты до сети сервисов. А почему это вопросы вызывает?

Для сервисов красиво получается с metallb

А вот скажите мне темному, какой профит от vault? Ну типо vs простая конфиг мапа.

Безопасно же! Плюс я сильно использую pki встроенный его.

Безопасно же! Плюс я сильно использую pki встроенный его.

а как трекать/обновлять ключи по ttl?

раньше нужно было отдельно что-то костылить для автомата

Безопасно же! Плюс я сильно использую pki встроенный его.

Ну в k8s есть не тока конфиг мапы, но еще и secrets. Сори, может фигню несу, я просто не глубокий специалист по k8s и vault ?

а как трекать/обновлять ключи по ttl?

У меня в таком нет надобности. Но навскидку consul-template, vault sidekick container

У меня в таком нет надобности. Но навскидку consul-template, vault sidekick container

почему? вечные ключи?

Ну в k8s есть не тока конфиг мапы, но еще и secrets. Сори, может фигню несу, я просто не глубокий специалист по k8s и vault ?

Не знаю как сейчас, но раньше сикреты в etcd лежали не зашифрованные. Бери кто хочет.

почему? вечные ключи?

У меня при старте все подтягивается и дальше работает. Больше обновлений не требуется.

У токена приложения есть ttl, по умолчанию месяц. Я про это. Через месяц он тухнет и все, приехали.

За десятком приложений уже сложнова-то следить.

У них есть платный UI и интеграции с google и перевыпуском, но это платно.

У токена приложения есть ttl, по умолчанию месяц. Я про это. Через месяц он тухнет и все, приехали.

В интеграции волта и кубера аудентифицация происходит по сикрет токену сервис аккаунта

То есть всегда можно получить токен. У меня вообще на 5 минут выписывается.

Не знаю как сейчас, но раньше сикреты в etcd лежали не зашифрованные. Бери кто хочет.

Охх, поначалу у меня тоже все было зашифровано. А потом появился ClickHouse со своим кривым python драйвером, который в случае ошибки валит и логин и пароль в лог. И никак не дает это отключить ?‍♂️

Охх, поначалу у меня тоже все было зашифровано. А потом появился ClickHouse со своим кривым python драйвером, который в случае ошибки валит и логин и пароль в лог. И никак не дает это отключить ?‍♂️

У меня злой отдел ИБ :)

Не знаю как сейчас, но раньше сикреты в etcd лежали не зашифрованные. Бери кто хочет.

Давно было)

Давно было)

А сейчас как?

Есть encryptionConfig

Есть encryptionConfig

Да, хоть экспиремнтал, но хоть что-то :)

А возмодно использовать внешние виртуальные ip на кластере?

возможно, смотря для чего какой кейс у вас

возможно, смотря для чего какой кейс у вас

кейс простой - external ip должен быть доступен даже при потере ноды. В данный момент использую связку pacemaker corosync.

то есть вам нужен "плавающий" IP без внешнего балансировщика?

за роутинг пакетов по vip к ноде вы сами отвечаете? если да, то без проблем

metallb такое умеет

то есть вам нужен "плавающий" IP без внешнего балансировщика?

именно

calico вроде тоже, или romana-vip

metallb такое умеет

ща поищу кто он такой

главное - что бы нормально чистил arp таблицу на шлюзе

ну или можно самому daemonset с network=host сделать с каким нибудь сервисом. Тот же pacemaker, или keepalived или демон с vrrp

вариантов много

ну или можно самому daemonset с network=host сделать с каким нибудь сервисом. Тот же pacemaker, или keepalived или демон с vrrp

да?

в общем, направление получил, пошел копать. Спасибо большое!

о ucarp ещё есть. это в альтернативы keepalived.

может кто-то книгу толковую по кубернету порекомендовать? Хочется почитать о best practices.

точнее, чтобы и было объяснение о том что и как работает и как это правильно готовить.

Прям книгу? Можно записи со Слёрма посмотреть, там неплохо.

Для сервисов красиво получается с metallb

Да, слышал про него, но не вчитывался.

Прям книгу? Можно записи со Слёрма посмотреть, там неплохо.

https://youtube.com/channel/UCK5MedKoNJ5aRahfGOIGx6g/videos

@nbykov хз, смотрел записи со Слерма, рекомендовали. Там товарищ видя, что делается npm i а потом это все копируется в отдельную папку и дальше уже что-то делается сильно этому удивился и сказал, что непонятно зачем это надо. И чет я в Слерме после этого разуверился.

прямо книгу, да, нашел книгу по докеру, прочел, все ясно стало.

еще проблема видеозаписей - не структурировано, можно два часа слушать и даже не дослушать до того, что нужно. А хочется если что-то еще раз уточнить, весьма сложно найти нужные 1-2 минуты.

пока смотрю на The kubernetes book by Nigel Poulton

по докеру читал Practical Docker with Python by Phat S.

Всем привет! Можете ткнуть куда копать? Нужно в k8s развернуть Постгрю с возмоджностью ее горизонтально масштабировать. Нашел что можно через helm устанавливать и Crunchy. Есть какой то BP?

если кто-то хочет докер с нуля поизучать - неплохая.

Всем привет! Можете ткнуть куда копать? Нужно в k8s развернуть Постгрю с возмоджностью ее горизонтально масштабировать. Нашел что можно через helm устанавливать и Crunchy. Есть какой то BP?

Ну, горизонтально она только по чтению будет масштабироваться же. Мне вот эти ребята нравятся: https://github.com/zalando/patroni/blob/master/docs/kubernetes.rst

Stolon ещё рекомендуют.

пока смотрю на The kubernetes book by Nigel Poulton

Отзывы потом сильно велкам)

Всем привет! Можете ткнуть куда копать? Нужно в k8s развернуть Постгрю с возмоджностью ее горизонтально масштабировать. Нашел что можно через helm устанавливать и Crunchy. Есть какой то BP?

Меньше гемора со stolon, но он пока не умеет readonly на реплики

Меньше гемора со stolon, но он пока не умеет readonly на реплики

А что можете посоветовать с поддержкой readonly на реплики?

А что можете посоветовать с поддержкой readonly на реплики?

Не знаю, я сам stolon юзаю, так доступность важна, мод в чате постгреса спросить

может кто-то книгу толковую по кубернету порекомендовать? Хочется почитать о best practices.

Kubernetes in action

Она в чяте в файлах есть

а кто-нибудь в GKE делал scale up? как очучения?

Я readme поменял, он перезапускает deployment. Там docker build мгновенно проходит, потому что кэш, но tag меняется и deployment отрабатывает. Думаю потом сделать проверку, что docker image отличается хоть чем-то кроме tag

Указывайте имажи по sha256 , а не Тэгу, тогда только если содержимое отличается будет перезапуск

Указывайте имажи по sha256 , а не Тэгу, тогда только если содержимое отличается будет перезапуск

это я конечно попробую как руки дойдут, но сходу оно даже не гуглится, только issues на github. kubernetes image digest

Добрый день - подскажите годную мурзилку по поднятию ELK в кубере.

Добрый день - подскажите годную мурзилку по поднятию ELK в кубере.

Лучше EFK делай

ок оно руккми деплоится - или helm годный есть?

ок оно руккми деплоится - или helm годный есть?

Смотри. У меня сейчас тестовый стенд с этим делом. https://github.com/helm/charts/tree/master/stable/fluent-bit