В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Kubernetes — русскоговорящее сообщество

4712 membersпожаловаться на группу
2020 February 26

S

Slach in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
https://operatorhub.io/operator/clickhouse - этот?

https://github.com/Altinity/clickhouse-operator/blob/master/docs/custom_resource_explained.md
Там же можно профили настроить и поле networks есть, то есть он просто прокидывает эти xml в clickhouse. Должно работать

Это

test/networks/ip:
        - "127.0.0.1"
        - "::/0"


Трансформируется в xml в конфиги для clickhouse:

<users>
        <test>
          <networks>
            <ip>127.0.0.1</ip>
            <ip>::/0</ip>
          </networks>
        </test>
     </users>
GitHub
Altinity/clickhouse-operator
The ClickHouse Operator creates, configures and manages ClickHouse clusters running on Kubernetes - Altinity/clickhouse-operator
да этот, спасибо за ссылки это я все читал
дело в том, что мне надо беспарольный доступ но изнутри кластера
::/0 слишком несекурно и на Network Policy полагаться не могу
источник
14:40пожаловаться#1

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Slach
да этот, спасибо за ссылки это я все читал
дело в том, что мне надо беспарольный доступ но изнутри кластера
::/0 слишком несекурно и на Network Policy полагаться не могу
без netpol боль =(. Ну тогда остается страдать
источник
14:41пожаловаться#2

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Slach
да этот, спасибо за ссылки это я все читал
дело в том, что мне надо беспарольный доступ но изнутри кластера
::/0 слишком несекурно и на Network Policy полагаться не могу
кстати, ещё есть kube rbac proxy. Можно через него
источник
14:43пожаловаться#3

ВЕ

Валентин Еловский... in Kubernetes — русскоговорящее сообщество
Alexander
Я не про тесты, а про окончательный выбор решения для продакшена. Зачем париться с vxlan и усложненным дебагом проблем, связанных с ним, если можно просто воспользоваться l3 связностью, которую уже предоставляет сетевая инфраструктура? В кубере сеть и так устроена не самым простым образом, чтобы ее без нужды еще и оверлейными сетями усложнять.
вроде cillium его использует просто вместо bridge, и не тащит за пределы ноды.
источник
14:45пожаловаться#4

S

Slach in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
без netpol боль =(. Ну тогда остается страдать
ок.
вопрос можно перефразировать
как определить через kubectl
что сервис поднят и что поды которые попадают под селектор сервиса будут нормально резолвиться через DNS?
источник
14:45пожаловаться#5

S

Slach in Kubernetes — русскоговорящее сообщество
Lucky SB
ты пальцем показывай. что именно резолвить пытаешься то. какими командами.
какоe именно имя то ?

что такое в твоем понимании обратный резолв на сорс ип ?
в кубе нету зоны для обратного ресолва (dig -x)
ок.
вопрос можно перефразировать
как определить через kubectl
что сервис поднят и что поды которые попадают под селектор сервиса будут нормально резолвиться через DNS?
источник
14:46пожаловаться#6

ВЕ

Валентин Еловский... in Kubernetes — русскоговорящее сообщество
Slach
ок.
вопрос можно перефразировать
как определить через kubectl
что сервис поднят и что поды которые попадают под селектор сервиса будут нормально резолвиться через DNS?
kubectl get ep? Если есть эндпоинты - они связаны с сервисом уже
источник
14:46пожаловаться#7

A

Alexander in Kubernetes — русскоговорящее сообщество
Валентин Еловский
вроде cillium его использует просто вместо bridge, и не тащит за пределы ноды.
Эээ... vxlan не заменяет bridge
источник
14:47пожаловаться#8

MK

Maksim Kletskin in Kubernetes — русскоговорящее сообщество
собсно ep создаются согласно селектору сервиса, при прохождении readnessProbe
источник
14:47пожаловаться#9

S

Slach in Kubernetes — русскоговорящее сообщество
Валентин Еловский
kubectl get ep? Если есть эндпоинты - они связаны с сервисом уже
о, спасибо
источник
14:48пожаловаться#10

ВЕ

Валентин Еловский... in Kubernetes — русскоговорящее сообщество
Alexander
Эээ... vxlan не заменяет bridge
да, посмотрел сейчас - действительно у них он как overlay сеть используется. Ну... собственно альтернатива там только ipvlan (вот он точно просто вместо бриджа), но из-за особенностей его режется часть функционала
источник
14:49пожаловаться#11

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Slach
ок.
вопрос можно перефразировать
как определить через kubectl
что сервис поднят и что поды которые попадают под селектор сервиса будут нормально резолвиться через DNS?
если нужен резолв обратный (ptr), то не получится. Хотя может в coredns можно это настроить конечно, но вряд-ли
источник
14:49пожаловаться#12

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Slach
ок.
вопрос можно перефразировать
как определить через kubectl
что сервис поднят и что поды которые попадают под селектор сервиса будут нормально резолвиться через DNS?
через dns сервис будет резолвится всегда. Без разницы есть ли там поды в ендпоинтах или нет. Но это будет айпи именно сервиса
источник
14:50пожаловаться#13

A

Alexander in Kubernetes — русскоговорящее сообщество
Валентин Еловский
да, посмотрел сейчас - действительно у них он как overlay сеть используется. Ну... собственно альтернатива там только ipvlan (вот он точно просто вместо бриджа), но из-за особенностей его режется часть функционала
А почему просто бридж не юзать (при условии, что не упираешься в его производительность)?
источник
14:51пожаловаться#14

DS

Dmitry Sergeev in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
если нужен резолв обратный (ptr), то не получится. Хотя может в coredns можно это настроить конечно, но вряд-ли
а даже если так, то это будет резолв именно для сервиса. А ты же с пода хочешь ходить в clickhouse. ip пода!=ip сервиса
@BloodJazMan
источник
14:52пожаловаться#15

ВЕ

Валентин Еловский... in Kubernetes — русскоговорящее сообщество
Alexander
А почему просто бридж не юзать (при условии, что не упираешься в его производительность)?
macvlan/ipvlan быстрее бриджа (и вроде как сильно проще написаны в коде, но это неточно)
источник
14:52пожаловаться#16

A

Alexander in Kubernetes — русскоговорящее сообщество
Валентин Еловский
macvlan/ipvlan быстрее бриджа (и вроде как сильно проще написаны в коде, но это неточно)
Ну, если не нужен iptables и фильтровать планируется все через ebpf, то да, как вариант.
источник
14:54пожаловаться#17

L

Lucky SB in Kubernetes — русскоговорящее сообщество
Maksim Kholodkov
Всем привет, может сталкивался кто, у нас etcd не был настроен как кластер, каждый мастер смотрел на https://127.0.0.1:2379
из-за этого вечто 1 мастер был перегружен
решили развернуть кластер, в лб добавил правило на *:2379 уходящее в мастера *:2379
но столкнулся с проблемой на скрине, и в целом непонимания, правильно ли делаю...
ты щас написал что у вас было N мастеров, каждый со своим etcd ?
т.е. N отдельных кластеров куба ?

ты действительно это хотел написать ?

API серверу можно уазать адреса всех членов etcd кластера. поднимать какие-то балансировщики между API и etcd глупо и вредно.
источник
14:54пожаловаться#18

S

Slach in Kubernetes — русскоговорящее сообщество
Dmitry Sergeev
через dns сервис будет резолвится всегда. Без разницы есть ли там поды в ендпоинтах или нет. Но это будет айпи именно сервиса
все верно 😊 у меня не отрабатывал правильно

короче буду перед запуском просто отслеживать
чтобы endpoint появился через


kubectl -n test get ep chi-test-011-secured-cluster-default-0-0 -o=custom-columns=kind:kind,endpoint:.subsets[*].addresses[*].hostname
источник
14:58пожаловаться#19

S

Slach in Kubernetes — русскоговорящее сообщество
Валентин Еловский
kubectl get ep? Если есть эндпоинты - они связаны с сервисом уже
спасибо большое, очень помогли
у меня было непонимание как оно работает
источник
14:59пожаловаться#20