у тебя cilium в проде?
Свои правила для файрвола на чем писать?

там есть даже L7 фильтрация

его киллерфича

у тебя он в проде?
Свои правила есть возможность там писать? Или голой жопой в инет?

у меня нет его в проде, я безработный

какой-то глупый вопрос. есть.

ну так ты критикуешь, то что человек не использует cilium, при этом у тебя у самого в проде его  нет.
Вот человек не использует cilium, как ему закрыть ноды, чтобы они голой жопой не торчали в инет. Он эту проблему решает через iptables, вариантов я других тут не вижу, если у тебя есть, предложи их

🤔 страдайте дальше.

Я пока не могу отказаться, потому что нет компетенции ни в решениях использующих iptables, ни в других. Когда-нибудь, когда-нибудь...

ну так вариантов нет? Тут в чате никто ещё не писал об использовании cilium в проде

Если честно, я без понятия, видимо kube-router, что-то стандартное из kubespray

а какой у тебя cni?

calico

так причём тут страдания?
У тебя совет перенакатить cni в кластер, и юзать убер штуку, которую никто в проде не юзает.
Я просто не понял причём тут "чем только люди не страдают, лишь бы не отказываться от iptables в кубах". Как будто есть варианты? Перенакатывать cni, да ещё и такой убойный как cilium альтернативой трудно считать, так как объем работ довольно большой потребуется на изучение, тестирование и т. д.

никто?

в чате пока никто не писал, я все время спрашиваю, так как сам мечтаю на него перейти

мечты сбываются, переходи.

прикольно, мб kube-proxy это делает, не знал. Но у ipset вроде есть механизм восстановления после перезагрузки. В /etc/ipset.d вроде правила можно сохранять

Посмотрю, но меня на данный момент устраивает моё решение - не лезть в контроль правил куба. Спасибо за участие.