DS
Size: a a a
2020 February 26
LB
а без ui там есть тулзы для вывода правил?
cilium monitor
LB
там нет iptables )
На хосте есть зато. Не знаю как у вас, но у меня "дебаг CNI" в 90% случаев это выяснение кто и как потоптался в iptables. В cilium это уже не важно
LB
лучший?
Единственные инноваторы.
V
Единственные инноваторы.
не пробовал, стоит вместо calico юзать?
LB
не пробовал, стоит вместо calico юзать?
Если в калико все устраивает то нет конечно :)
AA
На хосте есть зато. Не знаю как у вас, но у меня "дебаг CNI" в 90% случаев это выяснение кто и как потоптался в iptables. В cilium это уже не важно
зачем на хосте оно?)
LB
зачем на хосте оно?)
Всегда есть, если модули загружены
AA
модули загружены != установлен/запущен iptables
ВЕ
модули загружены != установлен/запущен iptables
в смысле? Если модули загружены - iptables запущен. Но если в него не загружены правила - то он висит и ничего не делает.
LB
iptables не процесс, а просто cli к этим самым модулям.
DH
коллеги, может кто направить меня в вопросе?
поднимаю external-dns и он не может в апи достучаться. в no_proxy уже добавил подсеть куба
много людей говорят, что это похоже на проблемы с ролями в кластере
{"level":"info","msg":"Created Kubernetes client https://100.64.0.1:443","time":"2020-02-26T09:10:41Z"}
{"level":"fatal","msg":"failed to sync cache: timed out waiting for the condition","time":"2020-02-26T09:11:41Z"}поднимаю external-dns и он не может в апи достучаться. в no_proxy уже добавил подсеть куба
много людей говорят, что это похоже на проблемы с ролями в кластере
AA
я про правила, ну
ВЕ
я про правила, ну
ну так с пустым списком правил iptables все равно запущен и работает. Просто он делает "ничего" :)
AA
ну так и дебажить, стало быть "нечем" (в данном контексте)
VR
Единственные инноваторы.
USERS.md у них скудный, не ведется народ пока :/
LB
А в целом, что нужно знать, чтобы не бояться его использовать?
bpf нужно хорошо изучить? Умение дебажить сеть обычными traceroute,
Маршруты как он строит, по bgp? В итоге это обычные маршруты, которые можно смотреть через iproute2?
bpf нужно хорошо изучить? Умение дебажить сеть обычными traceroute,
tcptraceroute, ping, mtr, tcpdump, telnet, curl, dig и т.д. хватит?Маршруты как он строит, по bgp? В итоге это обычные маршруты, которые можно смотреть через iproute2?
Там vxlan для L3 сетей, но до tcpdump тянуться вряд ли придется - все самое интересное и сложное происходит до этого , но у них неплохой инструментарий для дебага : https://cilium.readthedocs.io/en/stable/troubleshooting/#admin-guide
DS
Там vxlan для L3 сетей, но до tcpdump тянуться вряд ли придется - все самое интересное и сложное происходит до этого , но у них неплохой инструментарий для дебага : https://cilium.readthedocs.io/en/stable/troubleshooting/#admin-guide
пасибо большое, нужно найти время и начать его ковырять
LB
USERS.md у них скудный, не ведется народ пока :/
Это потому что хелм деплоя не было :) сейчас завезли и всякие ямлокодеры смогут в два клика поставить
VR
Это потому что хелм деплоя не было :) сейчас завезли и всякие ямлокодеры смогут в два клика поставить
это кстати тру стори, я раза три подходил к снаряду, там первым же пунктом идет "настройте конфигмап" (~20 опций) и "дайте ему креденшиалы от AWS"