i
В итоге - тебе надо чтобы на всех нодах кластера работал сервис, который на ноде открывает порт, и трафик из этого сервиса перенаправлялся на что-то внешнее? Или как
Size: a a a
2020 July 07
DS
У меня Nginx-контроллер работает через DaemonSet и по этой причине на всех узлах кластера открыты порты 80 и 443. Хотелось бы что-то подобное реализовать с другими портами которые требуется публиковать наружу
i
У меня Nginx-контроллер работает через DaemonSet и по этой причине на всех узлах кластера открыты порты 80 и 443. Хотелось бы что-то подобное реализовать с другими портами которые требуется публиковать наружу
А проблема-то в чем?
DS
У меня Nginx-контроллер работает через DaemonSet и по этой причине на всех узлах кластера открыты порты 80 и 443. Хотелось бы что-то подобное реализовать с другими портами которые требуется публиковать наружу
Проблема в том что с TCP и UDP которые Nginx поддерживаются обстоит другая ситуация. Неважно как работает 80 и 443. Порты TCP/UDP публикуются только на одном узле, при чем если глянуть в IPTables, то видно будет три одинаковые таблицы внутри файерволла на однои из узлов, на остальных правила iptables не прописываются. Складывается ощущение что это был nginx-контроллера
DS
А потому Nginx-контроллер не подходит, даже будучи запущенным через DaemonSet
i
Проблема в том что с TCP и UDP которые Nginx поддерживаются обстоит другая ситуация. Неважно как работает 80 и 443. Порты TCP/UDP публикуются только на одном узле, при чем если глянуть в IPTables, то видно будет три одинаковые таблицы внутри файерволла на однои из узлов, на остальных правила iptables не прописываются. Складывается ощущение что это был nginx-контроллера
Это если ты юзаешь tcp-services-configmap?
DS
Это если ты юзаешь tcp-services-configmap?
Да
i
Хм, у меня все норм было
i
Где контроллер, там и слушает
i
Может у тебя селектор кривой?
i
Кстати ingress на всех нодах - плохо
i
Кстати если у тебя host port, то тебе и сервиса не надо
i
Так же в хост порт и добавляешь нужные порты
DS
И что мамое странное, как я написал, TCP/UDP после удаления сервисов, а точнее namespace'а, я перестаю видеть телнетом эти порты, телнет висит, не выдавая ошибку Connection refused, и вижу что порты висят и правила iptables на месте. Помогает лишь перезагрузка узла
DS
Где контроллер, там и слушает
ну в момент случае контроллер на всех узлах
i
ну в момент случае контроллер на всех узлах
Ну так делать плохо
i
А 80 и 443 через сервис или через хост порт?
DS
Ну так делать плохо
это хорошо когда у тебя baremetal и нет никакого облака, хотя может быть я чего-то не допонимаю
OD
Есть знатоки helmfile?
Если у меня до *бени релизов со своими настройками (версия приложения и ресурсы), и я хочу их в одном файле на каждый ENV отдать (а не делать на каждый релиз отдельный файл, как это предлагают), как это можно обыграть?
Задолбался чёт упарываться в этот скрещенный go-темплейтинг с helmfile.
Если у меня до *бени релизов со своими настройками (версия приложения и ресурсы), и я хочу их в одном файле на каждый ENV отдать (а не делать на каждый релиз отдельный файл, как это предлагают), как это можно обыграть?
Задолбался чёт упарываться в этот скрещенный go-темплейтинг с helmfile.
i
это хорошо когда у тебя baremetal и нет никакого облака, хотя может быть я чего-то не допонимаю
Ну смотри, если у тебя какой-то ворклоад начнет шатать машину, то пострадает ингресс, а ингресс обслуживает все сервисы - пострадают все