VR
правда так просто сеть не пошаришь, но можно найти veth
Size: a a a
2020 March 05
NK
Геннадий рассказывает про настройки инфраструктуры в Декатлон
L
ID:0
Геннадий рассказывает про настройки инфраструктуры в Декатлон
передайте ему вопрос плиз.
не озвучено каким образом они откатываются назад при неудачном деплое...
не озвучено каким образом они откатываются назад при неудачном деплое...
y
Кто может сказать куда капать по mysql?
при коннекте к базе контейнер с mysql рестартится. в логах он просто падает
2016-08-01T23:20:28.304240Z 0 [Note] Giving 0 client threads a chance to die gracefully
2016-08-01T23:20:28.304270Z 0 [Note] Shutting down slave threads
2016-08-01T23:20:28.304286Z 0 [Note] Forcefully disconnecting 0 remaining clients
2016-08-01T23:20:28.304296Z 0 [Note] Event Scheduler: Purging the queue. 0 events
2016-08-01T23:20:28.304343Z 0 [Note] Binlog end
2016-08-01T23:20:28.304627Z 0 [Note] Shutting down plugin 'auth_socket'
...
при коннекте к базе контейнер с mysql рестартится. в логах он просто падает
2016-08-01T23:20:28.304240Z 0 [Note] Giving 0 client threads a chance to die gracefully
2016-08-01T23:20:28.304270Z 0 [Note] Shutting down slave threads
2016-08-01T23:20:28.304286Z 0 [Note] Forcefully disconnecting 0 remaining clients
2016-08-01T23:20:28.304296Z 0 [Note] Event Scheduler: Purging the queue. 0 events
2016-08-01T23:20:28.304343Z 0 [Note] Binlog end
2016-08-01T23:20:28.304627Z 0 [Note] Shutting down plugin 'auth_socket'
...
skip-name-resolve добавлен?
DO
kubespray calico + ipvs
посдкажите имею проблему с ipvs он подымает тунель IPIP с MTU 1440
от куда он берет этот параметр ? прошустрил все конфиги не нашел
мне нужно занизить MTU глобально так как часть трафка бегает через GRE тунели и когда IPIP подымается через GRE нужно занизить MTU в IPIP
посдкажите имею проблему с ipvs он подымает тунель IPIP с MTU 1440
от куда он берет этот параметр ? прошустрил все конфиги не нашел
мне нужно занизить MTU глобально так как часть трафка бегает через GRE тунели и когда IPIP подымается через GRE нужно занизить MTU в IPIP
DO
тоесть имеем GRE <=> IPVS+IPIP1440 <=> GREи тунель не работает
DO
или проблема не в этом ?
DO
по сути калико подымает на двух нодах поды и они друг друга не видят
GB
kubespray calico + ipvs
посдкажите имею проблему с ipvs он подымает тунель IPIP с MTU 1440
от куда он берет этот параметр ? прошустрил все конфиги не нашел
мне нужно занизить MTU глобально так как часть трафка бегает через GRE тунели и когда IPIP подымается через GRE нужно занизить MTU в IPIP
посдкажите имею проблему с ipvs он подымает тунель IPIP с MTU 1440
от куда он берет этот параметр ? прошустрил все конфиги не нашел
мне нужно занизить MTU глобально так как часть трафка бегает через GRE тунели и когда IPIP подымается через GRE нужно занизить MTU в IPIP
Нахера тебе gre в ipip?
DS
А кто-нибудь контролирует фаерволл своим iptables? Я взял ansible, kubespray и теперь не понимаю как не сломать правила k8s, если я хочу прикрыть порты, торчащие на внешних адресах и не потерять кластер.
У меня puppet, явно задал игнорировние правил по определенным регуляркам, которые матчат правила куба. Остальное все контролирует и удаляет если оно не описано в IaC. Думаю в ansible тоже самое можно.
А порты прикрываю в отдельной цепочке, которая вставляется в INPUT как последнее правило
А порты прикрываю в отдельной цепочке, которая вставляется в INPUT как последнее правило
GB
Смысл такого изврата?
DO
Нахера тебе gre в ipip?
два датацентра соеденены между собой GRE тунелем
DO
и там и там локальная сеть
VR
правда так просто сеть не пошаришь, но можно найти veth
(впрочем у нас сделано проще - в тот же контейнер копируется tcpdump, любителям алпайна правда почемуто больно)
DO
получается что IPVS пытается строить через этот GRE IPIP и по MTU нифига не пашет
DO
так вышло исторически
DO
но кубер нормально через GRE не заводится
IU
У меня puppet, явно задал игнорировние правил по определенным регуляркам, которые матчат правила куба. Остальное все контролирует и удаляет если оно не описано в IaC. Думаю в ansible тоже самое можно.
А порты прикрываю в отдельной цепочке, которая вставляется в INPUT как последнее правило
А порты прикрываю в отдельной цепочке, которая вставляется в INPUT как последнее правило
Не понимаю, что значит "игнорирование правил по опр регуляркам, которые матчат правила куба" - можно пример, пожалуйста?
DS
Не понимаю, что значит "игнорирование правил по опр регуляркам, которые матчат правила куба" - можно пример, пожалуйста?
firewallchain { 'INPUT:filter:IPv4':
purge => true,
ignore => [
'169.254.20.10',
'-j KUBE-FIREWALL',
'-j KUBE-ROUTER-SERVICES'
]
}Удаляет все, кроме правил которые подпадают под регулярки из списка ignore. Ну и конечно не удаляет правила, которые ты сам описал.
В anisble к сожалению с iptables мало работал, подзабыл какие там есть модули и что они умеют.
L
kubespray calico + ipvs
посдкажите имею проблему с ipvs он подымает тунель IPIP с MTU 1440
от куда он берет этот параметр ? прошустрил все конфиги не нашел
мне нужно занизить MTU глобально так как часть трафка бегает через GRE тунели и когда IPIP подымается через GRE нужно занизить MTU в IPIP
посдкажите имею проблему с ipvs он подымает тунель IPIP с MTU 1440
от куда он берет этот параметр ? прошустрил все конфиги не нашел
мне нужно занизить MTU глобально так как часть трафка бегает через GRE тунели и когда IPIP подымается через GRE нужно занизить MTU в IPIP
странно.
calico_mtu: 1400