Comments 19
. Существует два основных издания Astra Linux: бесплатный Common Edition и платный Special Edition, который предоставляет более защищённую сертифицированную версию. Так как мы будем раскатываться на промышленных контурах, то в рамках данной статьи мы будем рассматривать только Special Edition;
Common Edition уже пару лет как заброшен. на оффсайте висит плашка:
ОС Astra Linux Common Edition, доступная для физических лиц, на данный момент неактуальна, не получает обновления и не лицензируется для использования юридическими лицами.
если параметр sysctl net.ipv4.ip_forward на хосте Linux установлен в значение 0 (отключено), то пересылка пакетов IPv4 отключается
А вы считаете, что он где-то включен по дефолту ? )
Вы правы, по дефолту этот параметр всегда отключен. Но ряд облачных ДЦ при создании ВМ выставляют этот параметр в 1 по дефолту. Иногда мы сталкивались с тем, что люди, которые последние годы работали только с облаками, забывают про базовое значение net.ipv4.ip_forward, поэтому я указал этот как пример
Если не секрет, почему выбрали установку ванильного K8s на Астру? Какие плюсы и минусы по сравнению с тем что предлагает сама Астра в качестве своей «платформы» (nodus) ?
Это было одним из основных условий первой подобной задачи: решение должно было быть максимально опенсорсным, не привязанным к какой-то платформе. Из основных минусов - это построение большого количества велосипедов для достижения удобства. Из плюсов - гибкость инфраструктуры, открытость системы, которая позволяет спокойно ставить специфичное ПО, патчить элементы и т.д, а также бесплатная основа (тот же Nodus стоит 2 100 000 рублей в год).
Вечный вопрос выбора - брать опенсорс и строить свое решение вокруг него или покупать готовое, попадая в зависимость от вендора. Не факт, что первое будет дешевле - все-таки большое количество велосипедов требует и времени, и квалификации у тех кто это делает и поддерживает. А потом может оказаться, что нужно переделывать с учетом новой версии Астры. Поэтому конечно ваша статься очень актуальна, интересно понять сколько же велосипедов нужно для Астры.
Зачем же тогда в этой схеме платная кривая Astra?
Заказчик с биполяркой? Я бы ещё понял, если "завалите меня импортозамещением, у меня вагон бабла", и тогда вы тот же nodus использовали бы и астровскую же замену Заббикса за миллионы денег.
Т.е ему нужно шашечки или ехать? Если шашечки, то одной импортоизнасилованной ОС тут мало, если ехать - то она тут не нужна.
Но что-то мне подсказывает, что ему таки нужно ехать, но не привлекая внимания санитаров.
А вот взяли бы Deckhouse от Флант и не надо было все это настраивать. Там уже из коробки поддержка Астры
Получается нужно ещё Питон 3.10 из внешнего репозитория установить: в репах Астры 1.7.5 более старая версия. А в репозитории Астры 1.8.x уже есть Питон 3.11.
Попробуйте установить через Kubeadm, намного все проще. Kubespray на мой взгляд уже не актуально.
А как решен вопрос, с тем, что в Astra Linux SE Кубернетес не является сертифицированым решением по требованиям к средствам контейнеризации (118 приказ ФСТЭК)? Если у вас есть хоть какое-то требование к безопасности, регулируемое в РФ (ИСПДн, ГИС, КИИ), кроме требования к импортозамещению, то как проект такого решения согласован Заказчиком и ФСТЭК?
Не понятно зачем брать астру SE, ковырять её ядро, накатывать оркестратор от "недружественного" производителя, все эти манипуляции сводят на нет всю "защищённость" Астры, и по секрету, сертификат Астры распространяется исключительно на репозиторий "main" он же установочный диск, по этому я не понимаю цели сего мероприятия, если просто "потому что могу", тогда прям респект, а если это реальное т.з., что же... остаётся только посочувствовать...
Неприятный факт, который вскрылся в процессе развертывания: расширенная документация с описанием часто встречающихся проблем доступна только в платном виде.
Если у вас куплена Астра, то есть учетка от Личного кабинета и соответственно доступ к базе знаний. Должно так работать.
за Astra отдельное спасибо, люди из определенных организаций поймут :)
Если использовать Storage Provisioner, то почему не sci s3, который умеет ReadWriteMany?
Ingress Controller NGINX дышит до марта 2026, потом лавочка прикрывается. Это точно то, что вы хотите видеть в инфре\проде?
Катал по версии kubespray - 2.29.1 на астру 1.7, привет всем с 2025, ближайшего 26 получается:
Из предварительных установок требуется крч такое на все тачки (мастера, воркеры и тп): apt install iputils-ping
Так же для отработки сценария с ArgoCD - python3.7 -m pip install passlib
Поменялся механизм создания инвентори, теперь он просто по шаблону через cp -r /inventory/sample inventory/you_inv
Пока так же добавляются значения на ОС Астры в supported_os_distributions
Везде, где есть условие на Deb, впихнул условие на when: ansible_os_family == "Astra Linux" or ansible_os_family == "Debian"
Таска "Containerd | Unpack containerd archive" должна иметь when: ansible_os_family != "Astra Linux"
На астру нужно катать containerd с дефолтных реп иначе куча конфликтов. После таски пунктом выше, добавлены ниже такие таски (листинг)
Так же было сделано переназначение для переменной dhclienthookfile, в файле 0020-set_facts.yml
- name: Install apps on Astra Linux
apt:
name: "containerd"
state: present
when: ansible_os_family == "Astra Linux"
- name: Target dhclient hook file for Debian family
set_fact:
containerd_bin_dir: /usr/bin
when: ansible_os_family == "Astra Linux"
Спускаясь с облаков в ад: развёртывание Kubernetes на Astra Linux. Часть 1