Такой подход хорошо масштабируется. Ведь чем больше всяких приложений в кластере, тем больше динамичности, они всё время в движении, там упадет, в другом месте поднимется, а другие cni шерстят iptables, чтобы накатывать правильные политики - это плохо масштабируется, чем больше приложений и правил, тем больше надо фигачить в iptables

видимо, силиум больше актуален на больших инсталяциях, на малых и калико будет за глаза

ну вот нюанс. Я сталкивался с таким на калико и kube-router: pod заехал но ноду, и первые несколько секунд политик на этой ноде  для этого pod'а не было, и этот pod мог подключаться куда ему было не разрешено подключаться или наоборот, вообще никуда не мог подключаться (сильно зависит от многих факторов и сетевых политик). Такое по безопасности может не пройти, если есть требования конечно, не мой случай, но мало ли, может быть у кого-то и есть серьезные требования по безопасности, а они о такой проблеме даже не знают.

интересный кейс, конечно. В нём бесспорно cilium выигрывает. Пользуясь случаем поинтересуюсь, в облаке тестируешь или на своём железе?

Приветствую. А что посоветуете в качестве ingress в k8s на голом железе в связке с metallb?

если хочешь быть как все - юзай nginx kubernetes

++
простой и абсолютной понятный для всех инструмент

недостаточно гибкий

Traefik жи

достаточно на первых порах, а то и больше. Всё зависит от того, какие цели преследует автор

чем лучше?

Чем nginx

арендованные железки/виртуалки

И никто ничего не сказал про металлб ???😳😳😳

сделано в Армении? (;

кубспрей или кубадм используете у себя для развертывания?

А что с ним не так?

хороший инструмент, но специфичный

Ну вроде работает)

Для тех кто применяет его в качестве L2 или наркомански использует