А Лукас им ответил

 luxas commented on 24 Jul 2018

Right, we can't make the connections from the api server to the kubelet servers verified, as each kubelet has its own self-signed cert. We might consider a manual approving flow wrt kubelet serving certs in the future but that's not secured by default at the moment.

То о чём ты и говоришь про момент часа Х - unsecured - когда вселенная в опасности и надо звать Жоржа :-)

Огонь, читал между строк, спасибо тебе огромное!

Ага, нашёл уже

Да не за что, завтра покопаться в гошечке надо будет. А Лукас получается один сейчас автор коммитер ?

В kubeadm? Не знаю, я на neolit123 постоянно натыкаюсь

Последний раз он сломал реджойн уже существющих нод в кластер :)

Спасибо, наблюдать за ними всеми нужно что там коммитят :-)

/report

всё оказлось куда проще, были заблочены порты OSD.

Коллеги. Есть вопрос по приватным сетям. Решил потестировать как они работают. Снял 2 виртуалки 200Мбит безлимит в gcorelabs.ru. Одна в Москве, другая в СантаКларе. Пускаю между ними iperf3 по tcp.
Один TCP коннект развивает 50-70 Мбит. 4-ре коннекта дают 200Мбит суммарно. Все ок, нет проблем.

Натягиваю между ними VLAN (которая инкапсулирует в UDP) - и вижу что скорость одного коннекта TCP рубится до 20 Мбит.
Ну а в сумме коннектов 20 надо открыть чтобы как-то дотянуть до 120-150Мбит и все это очень нестабильно.

Также если iperf3 заводить на UDP - то больше 20 мбит он не выдает.

Вопрос - что делать? Это реально такая проходимость UDP по мировому интернету, или надо попробовать другого провайдера?

Есть ли у Kubernetes такие плагины, которые трафик для приватной сети между подами будут гонять внутри TCP коннекта?
То есть задача гео-распределенные ноды объеденить в приватную сеть, но без таких вот приколов с UDP. Между нодами нужен пока только TCP.

kube-router умеет в IPIP

VLAN выкинь - это доисторическая технология

сейчас VxLAN вместо нее

А VxLAN она разве не в UDP инкапсулирует?

Я понимаю тут проблемы с проходимостью UDP

изучу IPIP - спасибо

Мту?