AlexRay Nov 24 2021 at 13:46

Кубер или два service discovery на один service mesh

9 min

11K

ЮMoney corporate blogSystem administration*Network technologies*DevOps*Kubernetes*

+37

Comments 9

sse Nov 24 2021 at 15:35

Офигенная статья для тех, кто умеет читать, спасибо большое за честность!

muturgan Nov 25 2021 at 07:43

Подзаголовки круто было бы добавить.

AlexRay Nov 25 2021 at 11:04

Спасибо за идею. Добавил заголовков для удобства чтения.

muturgan Nov 25 2021 at 17:35

Я наверно был не в себе. Не помню как писал этот комментарий) Пора завязывать полуношничать.
Теперь круто, спасибо :)

misterkramer Nov 25 2021 at 19:11

Дорогу осилит идущий)

Как тут в комментариях прозвучало - спасибо за честность @AlexRay!)

У меня такой вопрос - а как решаете вопрос с обслуживанием сертификатов TLS для сервисов внутри куба? Используйте ли cert-manager или какая-либо другая схема - поставки/обновления сертов?

AlexRay Nov 26 2021 at 12:43

Извиняюсь за долгий ответ.
Поскольку схема гибридная и приложение должно иметь возможность работать как внутри куба, так и снаружи, то никакие специфичные для кубера системы не используем. При деплое приложения из Vault подтягиваются ключи и сертификаты и из них создаются секреты в самом кубе, которые уже монтируются в контейнеры пода.

Nikita_Danilov Nov 28 2021 at 21:24

Спасибо большое за статью, особенно за схему, сильно же ~~усложнилась~~ изменилась инфраструктура за последние года. :)

В конце концов Кубер в ЮMoney стал выглядеть так:

Можете подсказать, пожалуйста, по паре моментов:

Есть ли принципиальные причины почему сверху использован Nginx+, а снизу HAProxy?
Аналогично, есть ли принципиальные причины почему использован Envoy, а не HAProxy, например? И почему прямоугольничек Envoy нарисован именно внутри App?

AlexRay Nov 28 2021 at 22:28

На Nginx+ работают балансировщики для входящего трафика, их всего несколько штук на датацентр. HAProxy обеспечивает меш и установлен по экземпляру возле каждого приложения. Не то чтобы их невозможно было поменять местами, но зачем? К тому же надо понимать, что Nginx+ — платный продукт.
Envoy использован потому, что его использует Istio, альтернативы там особо никакой нет. Он нарисован внутри App потому, что App на схеме - под приложения, а envoy - один из сайдкаров внутри пода.

Nikita_Danilov Nov 29 2021 at 10:57

Спасибо! Первый вопрос скорее не про "поменять местами", а про использование чего-то одного. Всё равно ведь чем Уже список инструментов, тем проще с ними управляться, лучше накапливается экспертиза.