S
Коллеги всем привет, подскажите пожалуйста, хочу в k8s часто создавать ingress с dns именами которых нету в используемой зоне, что можно использовать со сторон k8s что бы иметь возможность править A-записи на внешнем dns
Size: a a a
2021 March 30
A
есть с кем обсудить концепцию использования
AL
А есть опыт использования?!
Есть
AL
Тот же принцип что и с certmanager
AL
просто аннотацию добавляешь куда сходить
L
ну и мозги нужны. чтобы настроить ходилку
IU
посмотри куда они реально выставляются
Посмотрел, но не до конца понимаю последствия:
1. calico_mtu выставляется в конфиг CNI (/etc/cni/net.d/10-calico.conflist) и в полном размере, т.е. если у меня в голой сети 9000, то и там будет 9000. Разве оно не должно быть уменьшено на размеры заголовков при использовании IPIP/Wireguard?
2. Не до конца понятно почему calico_veth_mtu используется и для FELIX_IPINIPMTU, и для FELIX_WIREGUARDMTU и ок ли это:
1. calico_mtu выставляется в конфиг CNI (/etc/cni/net.d/10-calico.conflist) и в полном размере, т.е. если у меня в голой сети 9000, то и там будет 9000. Разве оно не должно быть уменьшено на размеры заголовков при использовании IPIP/Wireguard?
2. Не до конца понятно почему calico_veth_mtu используется и для FELIX_IPINIPMTU, и для FELIX_WIREGUARDMTU и ок ли это:
{% if calico_veth_mtu is defined %}
# Set MTU for the Wireguard tunnel device.
- name: FELIX_WIREGUARDMTU
value: "{{ calico_veth_mtu }}"
{% endif %}
# Set MTU for tunnel device used if ipip is enabled
{% if calico_mtu is defined %}
- name: FELIX_IPINIPMTU
value: "{{ calico_veth_mtu | default(calico_mtu) }}"
{% endif %}IU
вообще calico уже умеет вроде в AutoMTU
Только kubespray не умеет учитывать то, что я хочу потом включить wireguard, к сожалению
GG
IU
Что "зачем"?
GG
ты в публичной сети, что ли ? дай понять мне зачем тебе WG
GG
Посмотрел, но не до конца понимаю последствия:
1. calico_mtu выставляется в конфиг CNI (/etc/cni/net.d/10-calico.conflist) и в полном размере, т.е. если у меня в голой сети 9000, то и там будет 9000. Разве оно не должно быть уменьшено на размеры заголовков при использовании IPIP/Wireguard?
2. Не до конца понятно почему calico_veth_mtu используется и для FELIX_IPINIPMTU, и для FELIX_WIREGUARDMTU и ок ли это:
1. calico_mtu выставляется в конфиг CNI (/etc/cni/net.d/10-calico.conflist) и в полном размере, т.е. если у меня в голой сети 9000, то и там будет 9000. Разве оно не должно быть уменьшено на размеры заголовков при использовании IPIP/Wireguard?
2. Не до конца понятно почему calico_veth_mtu используется и для FELIX_IPINIPMTU, и для FELIX_WIREGUARDMTU и ок ли это:
{% if calico_veth_mtu is defined %}
# Set MTU for the Wireguard tunnel device.
- name: FELIX_WIREGUARDMTU
value: "{{ calico_veth_mtu }}"
{% endif %}
# Set MTU for tunnel device used if ipip is enabled
{% if calico_mtu is defined %}
- name: FELIX_IPINIPMTU
value: "{{ calico_veth_mtu | default(calico_mtu) }}"
{% endif %}отсюда похоже, что они взаимоисключающие, не?
GG
WG + IPIP разве работает?
GG
но опять это в доку калики смотреть
IU
WG + IPIP разве работает?
Смотря что должно сломаться :) я попробовал тупо уменьшить MTU на заголовки IPIP + WG - пока всё работает, ничего не сломалось, да и дока ничего против этого не имеет вроде
AP
Скинь манифест ingressа который получился на выходе с хельма
IU
отсюда похоже, что они взаимоисключающие, не?
ну могут дополнять друг друга, неочевидно
IU
ты в публичной сети, что ли ? дай понять мне зачем тебе WG
Хочу заменить TLS между сервисами на шифрованную L2 сеть, вроде хорошая цель
AL
Anton Patsev
дык у тебя там нет секрета