вот я не смог, завел подсеть в калике, которая совпадает с сетью ноды, и сделал аннотацию на под. Так калика эту подсеть начала в blackhole загонять, и соответственно после поднятия пода с каликой - нода отваливалась по сети :)

Уважаемые, а как тогда поставить кластер Кубернетес внутри локалки для тестовых нужд, чтобы браузеры пускали в дашборд?
Вчера еще Firefox пускал, сегодня он обновился, да я еще виртуалки из бакапа поднял и все - доступа нет

ну и неправильно ты делал.
https://docs.projectcalico.org/networking/add-floating-ip

или просто аннотацию на под
annotations:
     "cni.projectcalico.org/ipAddrsNoIpam": "[\"10.0.0.1\"]"

спасибо, сейчас попробую

О! Зашел, хоть и с предупреждением

@Aleksey_Lazarev
Вот сейчас у меня снова чистый кластер Кубера. Можно попросить помочь Ранчер поставить?

Работает, адрес прописался в под, вот только дефолт гетвея у пода нет, соответственно ничего не работает

бывает. но ведь для чего то эту аннотацию сделали ?
значит надо разбираться. для начала с тем как устроен роутинг в ip сетях, а потом уже будет понятнее что там калико с маршрутами сделала. и чего не хватает и что должно админом быть добавлено

Поставил на чистый Кубер чистый Ранчер 2.5.1
Чего ему не хватает? Это можно исправить?

в Cluster Explorer вроде все нормально

ну логи то глянь в подах

че гадать

Logs from kube-controller-manager in kube-controller-manager-node1:

Flag --port has been deprecated, see --secure-port instead.
I1029 08:15:12.199414       1 serving.go:313] Generated self-signed cert in-memory
I1029 08:15:12.728506       1 controllermanager.go:161] Version: v1.18.9
I1029 08:15:12.729108       1 dynamic_cafile_content.go:167] Starting request-header::/etc/kubernetes/ssl/front-proxy-ca.crt
I1029 08:15:12.729166       1 dynamic_cafile_content.go:167] Starting client-ca-bundle::/etc/kubernetes/ssl/ca.crt
I1029 08:15:12.729441       1 secure_serving.go:178] Serving securely on [::]:10257
I1029 08:15:12.729506       1 leaderelection.go:242] attempting to acquire leader lease  kube-system/kube-controller-manager...
I1029 08:15:12.729584       1 tlsconfig.go:240] Starting DynamicServingCertificateController

Это?

Flag --port has been deprecated, see --secure-port instead.
I1029 08:15:12.199414       1 serving.go:313] Generated self-signed cert in-memory
I1029 08:15:12.728506       1 controllermanager.go:161] Version: v1.18.9
I1029 08:15:12.729108       1 dynamic_cafile_content.go:167] Starting request-header::/etc/kubernetes/ssl/front-proxy-ca.crt
I1029 08:15:12.729166       1 dynamic_cafile_content.go:167] Starting client-ca-bundle::/etc/kubernetes/ssl/ca.crt
I1029 08:15:12.729441       1 secure_serving.go:178] Serving securely on [::]:10257
I1029 08:15:12.729506       1 leaderelection.go:242] attempting to acquire leader lease  kube-system/kube-controller-manager...
I1029 08:15:12.729584       1 tlsconfig.go:240] Starting DynamicServingCertificateController

откуда я знаю
он тебе там пишет что у тебя анхелси он

тогда логи чего смотреть? каких подов?

Да оно то все понятно, но хотелось бы иметь более гибкий механизм, IP то я добавил, а дефолт гетвей очень не хотелось бы в самом контейнере прописывать. не плохо было бы иметь аннотацию для этого

Не нужен никакой дефолт гейтвей дополнительный в поде

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         169.254.1.1     0.0.0.0         UG    0      0        0 eth0
169.254.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 eth0