« Rev
@ru_devops   669
Fwd »


Дмитрий Харитонов
много лет пользуюсь pfsense и при этом сижу на fedora rawhide и dnf, как жеж так?
Аналогично и про федору и про pfsense, но мне нужн роутер умеющий в плавающий виртуальный айпишник и чтобы видель сетку kubernetes, а значит нужен как минимум докер. По этому ищу линукс. Но так как не хотелось бы вспоминать потом что и как я настраивал хотелось бы чтобы дистриб умел дампить свои конфиги.
Александр
O_o
Александр
Еще раз, чем не подходит iptables?
Александр
Кроме того что нет гуя
Александр
Какие еще проблемы у него?
Руслан true.sorcerer
А не лучше все завести в какой папет и рулить все централизовано?
Andrew
Кроме того что нет гуя
Сомнительный недостаток.
Dmitry
Есть такая фигня clearos
Dmitry
Посмотри
Александр
Сомнительный недостаток.
Там видимо гуй просто нужен
ZöthOmmog
Кроме того что нет гуя
Невообразимая проблема
ZöthOmmog
One
vyatty в vyos форкнули
Дмитрий Харитонов
Там видимо гуй просто нужен
Ты знаешь как устроена сетка в Kubernetes?
Andrew
Пздц, ну и инженеры пошли.
Александр
Ты знаешь как устроена сетка в Kubernetes?
Нее, я только дрочу на такие слова.
Дмитрий Харитонов
при чёт тут гуй?
Александр
Сложна слишком
Andrew
Там блять 10 видов реализаций сети
Дмитрий Харитонов
Там блять 10 видов реализаций сети
Вот именно)
Александр
У нас модель оси поменялась
Дмитрий Харитонов
Но я имел ввиду то что там динамически добавляются подсети и всё это каждый раз в iptables прописывать не будешь
Александр
Есть такая фигня clearos
интересная штука
Дмитрий Харитонов
Я читал на дистроватче про кучу разных фаеров, а тут решил спросить кто чем пользуется
Александр
чОт я проблемы вообще не вижу
Александр
=\
Andrew
есть же bash, есть ansible, puppet и прочее дерьмо
В данном случае не прокатит. Они ж генерятся произвольн.
Andrew
Что ты будешь делать когда пересоздаются 10 подов с разными адресами, приходит твой ансибл и ёбает все нахер
Александр
В данном случае не прокатит. Они ж генерятся произвольн.
но у тебя же всегда есть интерфейс… 😕
Дмитрий Харитонов
есть же bash, есть ansible, puppet и прочее дерьмо
Мне только остаётся фэйспалмить)
Dmitry
интересная штука
Там хотя бы центос внутре
Александр
Что ты будешь делать когда пересоздаются 10 подов с разными адресами, приходит твой ансибл и ёбает все нахер
Ммм.. адресов может быть миллиард.. интерфейсами рулить же можно
Andrew
Хз короче, у меня такой задачи не возникало, поэтому не думал еще как её решать :)
Dmitry
Ты знаешь как устроена сетка в Kubernetes?
У нас несколько кластеров, но нам не нужен пфсенс
Дмитрий Харитонов
Там хотя бы центос внутре
У него вроде расширенный функционал платный, не?
Александр
)
Dmitry
Я как юзал бесплатный - вполне норм
Dmitry
Но это было лет пять назад
Дмитрий Харитонов
Я что-то глянул скриншоты, увидел вкладку шопа и что-то расхотелось его смотреть
Дмитрий Харитонов
У нас несколько кластеров, но нам не нужен пфсенс
Как вы снаруже пробрасываете порты на айпишник кубовского сервиса?
Dmitry
kube-proxy же
Dmitry
Перед ним ингрес
Дмитрий Харитонов
ну тоесть у вас нету перед внутренней сеткой сетевой железки, а сами сервера торчат жопой наружу?
Дмитрий Харитонов
Так-то да, проще
Дмитрий Харитонов
Ингрес это понятно
Dmitry
Не вижу ничего страшного в жопой наружу
Дмитрий Харитонов
не, ничего страшного нету, просто хорошо бы ещё балансировщик перед этой жопой поставить
Дмитрий Харитонов
файловер какой-то
Дмитрий Харитонов
точнее перед несколькими жопами)
Дмитрий Харитонов
что-то аналогия затянулась)
Дмитрий Харитонов
Ну да, а перед haproxy ещё и keepalived
Дмитрий Харитонов
вот и получается 2 железки с pfsense)
Dmitry
Все лучше чем цепочка натов
Dmitry
Кстати, хочешь хак?
Dmitry
Пишешь шляпу на питоне, ходишь шляпой в куб, тянешь список сервисов, для каждого добавляешь правило в иптейблес
Dmitry
Для всего уже есть либы
Dmitry
Запускаешь ондеманд или просто вешаешь как сервис
Дмитрий Харитонов
Чем это лучше чем 2 контейнера с kube-proxy и сетёвкой какой-то?
Dmitry
Ничем
Dmitry
Но это тебе нужен целый дистр
Dmitry
Чтобы натить вручную
Dmitry
Это лучше чем такой дистр
One
ну сетевке все равно динамически надо сетвое инвентори подтаскивать
Дмитрий Харитонов
Мне всё равно нужен дистр для сетевых сервисов
One
функциональность дистра какая? ток портфорвардить?
Дмитрий Харитонов
Хотя что-то мне кажется что я не найду то что мне нужно придется поставить центось и зафигачить всё в firewalld
Dmitry
функциональность дистра какая? ток портфорвардить?
Ну он хочет днс настраивать видимо
One
динамически?
Dmitry
Во всех этих гуе дистрах есть одна беда
Dmitry
Шаг влево или вправо там очень проблематичный обычно
Дмитрий Харитонов
dns, dhcp, nat, keepalived, kubeproxy, может быть web proxy и ещё что-то взбредёт в голову начальству.
« Rev
@ru_devops   669
Fwd »