почти угадал

Stanislav, старый ты видимо, за прошлое цепляешься =))

Нет, просто меня задолбали когда-то хайлайтить, набирая ник, совпадающий с именем. Поставил такое, которое и помню и при этом многие хрен наберут :-)

(слегка подумавши): а "старый" - это сколько?

(слегка подумавши): а "старый" - это сколько?

Это если хотя бы 14400 насвистеть можешь

не, только на 2400 и без MNP

Так это очень старый

Просто слуха нет музыкального

Пните куда можно глянуть

Как насчёт outgoing masquerade, или как-то так?

Ну, то есть, когда на хосте, на который ходит под, нет обратного маршрута к ip-адресу пода.

Как насчёт outgoing masquerade, или как-то так?

В ipv6 вообще есть смысл в NAT? :)

Почему нет?

Ну вроде все плоско, всё проще

эт uuid?

Это супермен

Серые подсети тоже есть

Серые подсети тоже есть

Но вроде их столько что можно выбирать случайную /64 и быть уверенным что ни с кем в этой вселенной не пересечешься :)

Ну вот я бы поссыковал лаб-кластер держать с глобально маршрутизируемыми адресами подов. Вряд ли кто-то до них досканирует, конечно, но лучше быть уверенным (:

Почему?

Фаервола что ли нету?

Но вроде их столько что можно выбирать случайную /64 и быть уверенным что ни с кем в этой вселенной не пересечешься :)

Не то чтобы я сетевой гений, но если там внутренняя сетка взяла случайную /64, то на нее обратно в общем-то ничего и не попадет. Если с тем же префиксом, что и хост - все должно быть ок.

Фаервола что ли нету?

Я знаю, что нат - это не фаервол, нооо.

всем привет, попытался вынести в деплое /etc/grafana в volume. Начинает ругаться типа GF_PATHS_CONFIG='/etc/grafana/grafana.ini' is not readable. Читал описание но не вкурил как это в деплое опистать http://docs.grafana.org/installation/docker/#migration-from-a-previous-version-of-the-docker-container-to-5-1-or-later (version=5.2.4 ). /var/lib/grafana вынести получилось

а дайте рекомендацию для юного кубовода, чем сейчас можно этот куб разворачивать?

а дайте рекомендацию для юного кубовода, чем сейчас можно этот куб разворачивать?

на распберри пи 3 вот можно

а так, kubeadm вам в помощь

не, я про другое - много разговоров про разные kubespray/kubeadm & etc. какую из тулзов стоит брать и стоит ли чтобы разобраться?

чтобы разобраться начните с hard way

ага спасибо нагуглил

Коллеги, подскажите, пробую подружить Gitlab с кластером кубера. Gitlab просит Certificate Authority bundle (PEM format). Достал из ~/.kube/config, сделал base64 -D ключам, положил сначала client-certificate-data, потом certificate-authority-data, потом client-key-data. Не пускает. Где туплю? (Ошибка: nested asn1 error)

Судя по названию надо СА + intermediate. А клиентский сертификат указать в другом месте. Но я могу ошибаться.

Коллеги, подскажите, пробую подружить Gitlab с кластером кубера. Gitlab просит Certificate Authority bundle (PEM format). Достал из ~/.kube/config, сделал base64 -D ключам, положил сначала client-certificate-data, потом certificate-authority-data, потом client-key-data. Не пускает. Где туплю? (Ошибка: nested asn1 error)

certificate-authority-data это нужно, хост только домен и порт

Привет всем, а есть быстрый вопрос - кто то знает должен ли load balancer для websocket уметь резолвить ssl и НЕ обрывать соединение по тайм ауту (то есть я говорю об ingress resource, не о service type: LoadBalancer)

По сути задача - HTTPS load balancer, за которым есть сервис с websocket deployment у которого нет таймаута. Мы в GKE.

certificate-authority-data это нужно, хост только домен и порт

положил туда сертификат из certificate-authority-data. не помогло

ошибка та же

в API URL кладу: https://master.cluster.com:6443

Так это очень старый

А если кто то помнит еще fidonet это вообще супер старпер?

А если кто то помнит еще fidonet это вообще супер старпер?

А если у кого-то действующая фидонода? :-)

че тут, опять инженеры меряются кто где в детстве сидел?

А если у кого-то действующая фидонода? :-)

Модемная??? :))

че тут, опять инженеры меряются кто где в детстве сидел?

Я думаю тут есть и спектумовцы и молодые девопсы:)

Я думаю тут есть и спектумовцы и молодые девопсы:)

Ещеж был bbs , мне туда спектрумовцы как раз звонили

Я думаю тут есть и спектумовцы и молодые девопсы:)

как интере а впрочем абсолютно наглухо не интересно

че тут, опять инженеры меряются кто где в детстве сидел?

Kubernetes over fido

over ftn тогда уж

Котоны, решал ли кто проблему с X-Forwarded-For на bare metal c nginx ingess controller?

А в чем проблема?

@Gans13 ?

Он подставляет внут. адреса подов

Ого

Ты точно ничего не перепутал и это ingress?

host network вроде вопрос решает

Кстати да

только будет простой при обновлении или падения самого ингреса

Ты точно ничего не перепутал и это ingress?

да, это точно ингресс)

для этого есть всякие злые хаки, которые подсмотрел у фланта

Ну можно часть поднять и переключить днс на него

для этого есть всякие злые хаки, которые подсмотрел у фланта

пни в нужном направлении)

У тебя один ингресс?

Сделай несколько

У меня 3 по одному на каждый хост, и есть failover ip который переезжает в слуучае падения ноды

там все сложнее, смотрят поднят ли 80 порт с помощью модуля сокет, если не поднят, заворачивают трафик в другое место где поднят нгинкс с прокси протоколом, который отправляет трафик в отдельный деплоймент ингреса как раз на такой случай

там все сложнее, смотрят поднят ли 80 порт с помощью модуля сокет, если не поднят, заворачивают трафик в другое место где поднят нгинкс с прокси протоколом, который отправляет трафик в отдельный деплоймент ингреса как раз на такой случай

Так у меня так есть отдельный деплоймент ингреса, если можно вот на этом месте поподробнее "смотрят поднят ли 80 порт с помощью модуля сокет" ?

Так у меня так есть отдельный деплоймент ингреса, если можно вот на этом месте поподробнее "смотрят поднят ли 80 порт с помощью модуля сокет" ?

https://habr.com/company/flant/blog/331188/#comment_10532820

https://habr.com/company/flant/blog/331188/#comment_10532820

Ща повкуриваю, спс за урл)

@SinTeZoiD ^^^

Он подставляет внут. адреса подов

Выставьте externaltrafficpolicy: Local на сервисе ингресс контроллера

Он работает только для Nodeport & LB

У меня ClusterIP c externalIPs

Да я решил воткнуть перед ингресами Haproxy и пинать трафик с него на ингресы

Тогда все сохраняется ибо нет NAT

У меня ClusterIP c externalIPs

Точно externalTrafficPolicy не работает с externalIP? Проверяли? Сам не пользовался, но хотелось бы знать :)

Точно externalTrafficPolicy не работает с externalIP? Проверяли? Сам не пользовался, но хотелось бы знать :)

а как оно может в принципе работать, если этот параметр просто запрещает использовать нелокальные эндпоинты сервиса с точки зрения того хоста на который прилетел трафик?

а как передеплоить helm chart ?

а как передеплоить helm chart ?

удалить с helm delete —purge ... и деплоить с нуля

helm delete --purge mongodb-enterprise-operator Error: transport is closing у когонить было такое? helm delete mongodb-enterprise-operator --debug --dry-run [debug] Created tunnel using local port: '56822' [debug] SERVER: "localhost:56822" Error: release: "mongodb-enterprise-operator" not found

Error: transport is closing было, но на функционал не влияло

я так из хелма не могу удалить этот оператор( в кубере неймеспейсов нет

Он в helm ls виден?

Доброго утра всем! Кто нибуть использует в сервисе около 100 портов? kube-proxy не троит?

Дык кубпрокси только конфигурит iptables нынче, ну или ipvs.

Дык кубпрокси только конфигурит iptables нынче, ну или ipvs.

Я вот тут просто почитал и озадачился https://github.com/kubernetes/kubernetes/issues/23864

Есть ли такая проблема

удалить с helm delete —purge ... и деплоить с нуля

Это как бы не апдейт. А возможности нормально проапдейтить, не вырезая весь сервис нет?