S
выключите свет
Size: a a a
2020 March 05
VS
это че за хрень
AT
видимо где то кубернетес конференция
AM
В яндексе
VS
это где кубень стоит как крыло от самолета? слыхал
A
Яндекс же
DV
Тихо как-то все
DS
та еще не настал квартал) я пока в разведке был) вообще не взлетела и я не понимаю из-за чего, потом попробую еще подэбажиться
но больше буду склоняться к standalone кластерам per region и буду разруливать через ci/cd заливку, так как у нас не так много сервисов будет, которые должны геораспределенно работать
ну и ранчер прикручу вместо kuberenetes-dashboard-а
но больше буду склоняться к standalone кластерам per region и буду разруливать через ci/cd заливку, так как у нас не так много сервисов будет, которые должны геораспределенно работать
ну и ранчер прикручу вместо kuberenetes-dashboard-а
понял, спасибо
VS
Яндекс же
у мыла.просру тож условия не лучше
VS
когда допилят до уровня дигитал ашана тогда можно начинать пользоваться
YZ
когда допилят до уровня дигитал ашана тогда можно начинать пользоваться
То есть есть менеджед куб хуже чем у ДО? 🤔
YZ
Этож как надо постараться
L
А кто-нибудь контролирует фаерволл своим iptables? Я взял ansible, kubespray и теперь не понимаю как не сломать правила k8s, если я хочу прикрыть порты, торчащие на внешних адресах и не потерять кластер.
у меня по старинке. скриптик генерит цепочку в которой allow from src ip
в цепочку отправляется трафик из INPUT с —dst-port. все.
Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига
а по уму то конечно надо бы с Firewalld разбираться, но лень.
в цепочку отправляется трафик из INPUT с —dst-port. все.
Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига
а по уму то конечно надо бы с Firewalld разбираться, но лень.
IU
у меня по старинке. скриптик генерит цепочку в которой allow from src ip
в цепочку отправляется трафик из INPUT с —dst-port. все.
Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига
а по уму то конечно надо бы с Firewalld разбираться, но лень.
в цепочку отправляется трафик из INPUT с —dst-port. все.
Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига
а по уму то конечно надо бы с Firewalld разбираться, но лень.
Охренеть, живой человек есть-таки! Спасибо.
Да! Почему все рецепты ансиболя делают iptables -F? Что я им сделал?
Я всё-таки либо закопаюсь в iptables_raw, либо попробую переписать скрипт firewall.bash из geerlingguy.firewall, ибо там уж очень удобная схема наливки правил.
Да! Почему все рецепты ансиболя делают iptables -F? Что я им сделал?
Я всё-таки либо закопаюсь в iptables_raw, либо попробую переписать скрипт firewall.bash из geerlingguy.firewall, ибо там уж очень удобная схема наливки правил.
DK
у меня по старинке. скриптик генерит цепочку в которой allow from src ip
в цепочку отправляется трафик из INPUT с —dst-port. все.
Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига
а по уму то конечно надо бы с Firewalld разбираться, но лень.
в цепочку отправляется трафик из INPUT с —dst-port. все.
Плюс по крону проверяю, что правила в наличии ))) а то любителей сделать itpables -F дофига
а по уму то конечно надо бы с Firewalld разбираться, но лень.
а kubeproxy научился дружить с firewalld?
DK
а то пару лет назад у них война за таблицы была
L
Dmitry K.
а kubeproxy научился дружить с firewalld?
хз. у меня firwalld отключен везде
DK
а у докера при паблише портов порт светился на всех интерфейсах наружу для 0.0.0.0/0 без оглядки что там firewalld для зоны говорит))