E
оп, хидерок
Size: a a a
2020 March 10
SI
но где-то слышал, что голова по-английски "хед"
ВЕ
Вы сейчас живёте проблем не знаете, просто приключений хочется. Перейдете на "не звезду" у вас всплывет, что один и тот же сервис становится доступен по разным именам внутри и через ингрес, многим от этого крышу сноасит, так как они непременно хотят знать по какому адресу они доступны (чтобы генерировать ссылки например) и этот адрес может быть только один.
ну не то что "приключений хочется". Я живу с ipvlan cni сейчас, и такой вот внутренний ингресс был выбран, чтобы вообще работать можно было, т.к. сервисы ж не работают. Ну и в рамках обновления кластера я вот в раздумьях, надо ли их чинить, или текущая схема хороша и трогать её не надо. Ну а когда раздумываешь - лучше спросить совета. Вот люди kube-router юзают, где-то не так давно обсуждали, что он хорош. Ну вот допустим я на него перейду - у меня ж сервисы заработают. А может тогда и юзать их... но вот с логами вопрос. Так я в чатик и пришел за идеями :)
LB
кто-то знает, как в gke при создании lb для nginx-ingress сделать кастомное firewall правило? По умолчанию он открывает 0.0.0.0/0 на все ноды.
Делал так - создавал сервис с аннотацией , по ней гке подцеплял и создавал network endpoit group (neg), созданный neg потом пропишется в другую аннотацию, потом беру neg id и досоздаю лоад балансер. Всё за один прогон Pulumi . Там не фаервол а access policy (или как то так, забыл уже) , можно прописать с каких сетей принимать, а каким 403 отдавать
AA
Делал так - создавал сервис с аннотацией , по ней гке подцеплял и создавал network endpoit group (neg), созданный neg потом пропишется в другую аннотацию, потом беру neg id и досоздаю лоад балансер. Всё за один прогон Pulumi . Там не фаервол а access policy (или как то так, забыл уже) , можно прописать с каких сетей принимать, а каким 403 отдавать
ух, чо-та сложна, ну ок, посмотрю, что-то видел в доках про neg. Спасибо
LB
Через хидерок можно узнавать как к тебе клиент пришел
Не важно как пришел, важно что если надо отдать ссылку на себя в body то надо знать какую и чаще всего такие приложения НЕ умеют знать о нескольких именах
LB
ух, чо-та сложна, ну ок, посмотрю, что-то видел в доках про neg. Спасибо
Добро пожаловать в клауд. Раньше был один апач, теперь терраформ, контроллеры, операторы, пачка ямлов и баш над этим всем. Баш в ансибле, ансибл в сиае, сиай в клауде...
AD
кто нибудь обновлял сертификаты с помощью
kubeadm alpha certs renew all?в чем вопрос?
AA
ансибл можно убирать из этого списка, он с ним конфликтует
GG
Не важно как пришел, важно что если надо отдать ссылку на себя в body то надо знать какую и чаще всего такие приложения НЕ умеют знать о нескольких именах
Можно относительные отдавать, но это, конечно, не всегда спасает
DO
Вопрос, calico может работать в таком режиме node1<<=internet=>>node2 без всяких gre vpn тунелей?
LB
Вопрос, calico может работать в таком режиме node1<<=internet=>>node2 без всяких gre vpn тунелей?
День сурка?
DO
День сурка?
заглючил месенджер, нашел ответ, спс понял
TF
Так авито недавно выкатили Navigator, которыйменее прожорливый
вот да
L
нужно рестартить кубелет на мастерах после выполнения?
все нужно рестартить.
DO
тогда вопрос, кто что использует для соединения скажем двух датацентров, или просто нужно подкинуть к кластеру одну ноду, у которой нет общей локалки с кластером ?
так как с GRE и перебором MTU у меня не завелся calico
Задача подружить с кубером Зоопарк метал серверов с разных датацентров.
так как с GRE и перебором MTU у меня не завелся calico
Задача подружить с кубером Зоопарк метал серверов с разных датацентров.
