Лично Я, очень полюбил WG за отсутствие понятий "коннект", "реконект", "подвис тоннель" и т.п. По-сути, WG не создает никакого тоннеля, он не может повиснуть, его не нужно перезапускать и т.п. Я использую WG везде (на работе тоннели между серверами), дома: Linux (Ubuntu), Mac. Смартфон Android. Очень круто работает везде.
p.s. имею личную неприязнь к ipsec. Использовал его в работе для создания тоннеля с одним крупным российским банком (по работе). Замучился рестартить ipsec тоннель, вечно какие-то подвисания были. Повторюсь: в WG нет тоннеля, нечему виснуть.
"Очень легко и удобно настроить VPN на смартфоне с помощью QR кода." - клиенты для ipsec так умеют? Крайне важно, чтобы конечный клиент мог легко настроить соединение.
Разумеется. Но мы здесь вроде бы про техническую сторону общаемся? Я, как разработчик, лишь привел пример, как можно с помощью SHM это реализовать. VPN это всего лишь пример, я пишу об этом в самом начале статьи.
У меня был отрицательный опыт. Думал как и Вы. В итоге я открыл ООО, снял офис, нанял бухгалтера, получил лицензии, оформил платежную систему, вложил деньги в рекламу, и в фирменный стиль. Платил кучу пошлин и налогов. Спустя год закрылся, поняв, что моя идея денег не приносит. Заработало только государство...
Сегодня бы я шел другой дорогой: Сначала запускаем, смотрим, изучаем. Пошли клиенты, - оформляемся, приводим всё в порядок. На этом этапе мы уже понимаем зачем и для чего.
Если Вы такая крупная компания, что Вами уже интересуются, то к этому времени, Вы наверное уже решите административные вопросы. В России VPN НЕ запрещен. Всё остальное решается в установленном порядке.
Даём клиентам не IP, а host. В случае проблем с сервером, пересоздаем их тоннели на другом, меняем IP для host-а и всё. Большая часть клиентов даже не заметит переезд на другой сервер.
В реале же, провайдеры не видят тип трафика, редко кто будет заниматься анализом трафика. Обычно всё сильно проще. Всё сводится к плате за трафик. В договоре обычно прописано, что если исходящий трафик превышает входящий во сколько-то раз, то трафик начинает быть платным. И опять же, не у всех.
очень странно, а откуда докер вообще узнает о существовании flannel?
Этого я не знаю. К счастью, k8s работает очень прозрачно, и многое от нас скрыто под капотом (да, туда можно залезть, но если всё и так работает, то зачем?). Хотите верьте, хотите нет, но k8s запускает pod-ы c уже настроенной сетью, и нам ничего дополнительного делать не нужно.
Если у вас есть желание разобраться в этом глубже, добро пожаловать на Хабр со своей статьей)
лично мне не понятна формулировка «Если приложению нужен диск (storage)» — в каких случаях приложение будет требовать диск?
Тут два пути:
1) Вы сами создаете нужный вам контейнер, и пишите к нему YAML файл, где и просите у k8s (claim) о диске (если он вам нужен).
2) Используете helm, где для каждого проекта описана необходимость в диске
Вообще, постановка вопроса странная: мне кажется, вы просто обязаны понимать, что делаете и как это должно работать, и нужен ли вам диск.
для этих вещей специально придумали kubectl proxy --port=8001
1) Прежде всего нужно удалить из /etc/hosts связку хостнейма и 127.0.0.1, в противном случае команда ceph-deploy не пройдет и упадет с ошибкой:
Вы что-то делали не так) Разумеется, если вы используете домен вида: kub01, то он должен резолвится. Если он прописан в /etc/hosts как 127.0.0.1, то он будет резолвится, и такой ошибки быть не должно. И да, наверное его лучше не прописывать как 127.0.0.1.
Я на эту проблему не попадал, так как hostname серверу задавал уже после инсталляции сервера.
2) На всех тачках нужно поставить python. Без него все тот же ceph-deploy будет валиться с ошибкой, только уже с другой:
У вас Ubunta? Странно, что python не поставился по зависимостям, при установке самого ceph-deploy…
Я python ставил отдельно, так как была необходимость запускать ansible (для своих целей).
коннектимся от имени рута, то нужно разрешить ssh коннект от рута, потому что в Ubuntu 16.04 по дефолту он запрещен.
Спасибо за замечание. Подумаю как это решить по изящнее)
В итоге помог ребут тачки.
Это какой-то windows-way. Всегда бейте себя по рукам за такое)
У меня нет четкого ответа на это. Обычно, k8s сам замечает изменения и перезапускает controller. Но если этого не произошло, то можно перезапустить: kubelet и docker. Если кто знает, как это сделать красиво, отпишитесь.
5) На шаге присоединения нод не хватает однозначности. Что мы в итоге делаем, новый токен или используем старый. Если используем старый то как собрать команду приведенную вами? А самое главное IP 8.8.8.8 очень путает.
Если у вас есть «старый» токен, то можно использовать его. Самое простое, это сохранить команду «присоединения», которая пишется после инсталляции k8s (kubeadm init ...).
Если по каким-то причинам, у вас нет этой команды, то смело создавайте новую. Токен присоединения имеет срок истечения, и он пропадет спустя два дня. Главное, успеть присоедениться )
Если же, вы присоединяете ноды спустя два дня, вам всегда потребуется создавать токен присоединения.
Чем пугает 8.8.8.8? его нужно заменить на IP вашего мастера.
6) Еще было бы интересно организовать доступ к подам снаружи без проброса через ssh.
Зачем так? Делайте сервис + Ingress.
Но если очень хочется, то iptables вам в помощь (PREROUTING, POSTROUTING).
Сам много лет использовал vim. Но год назад открыл для себя vscode... vim теперь только для того, чтобы поправить что-то на удалённых серверах)
p.s. знаю 100500 комбинаций vim, но vscode реально удобнее для больших проектов.
При всём уважении, но мне кажется, что проблема здесь больше в интервьюерах...
Сам с этим сталкивался, что когда долго не можем найти себе человека, делаем всё больше поблажек и всё меньше спрашиваем... такое вот выгорание...
Можно хорошо программировать и в 15 лет, но опыту взяться просто неоткуда. Ведь по-мимо самого программирования нужно:
Уметь оформлять код (git), иметь опыт ревью, работа в команде
Иметь знания и опыт работы с БД, Кешами, Брокерами сообщений и т.п.
Иметь жизненный опыт, чтобы руководить людьми (позиция Лида)
Управлять IT-шниками очень не просто, зная их сложный внутренний мир.
Очень много "воды"
Лично Я, очень полюбил WG за отсутствие понятий "коннект", "реконект", "подвис тоннель" и т.п. По-сути, WG не создает никакого тоннеля, он не может повиснуть, его не нужно перезапускать и т.п. Я использую WG везде (на работе тоннели между серверами), дома: Linux (Ubuntu), Mac. Смартфон Android. Очень круто работает везде.
p.s. имею личную неприязнь к ipsec. Использовал его в работе для создания тоннеля с одним крупным российским банком (по работе). Замучился рестартить ipsec тоннель, вечно какие-то подвисания были. Повторюсь: в WG нет тоннеля, нечему виснуть.
"Очень легко и удобно настроить VPN на смартфоне с помощью QR кода." - клиенты для ipsec так умеют? Крайне важно, чтобы конечный клиент мог легко настроить соединение.
Конечно
Разумеется. Но мы здесь вроде бы про техническую сторону общаемся? Я, как разработчик, лишь привел пример, как можно с помощью SHM это реализовать.
VPN это всего лишь пример, я пишу об этом в самом начале статьи.
У меня был отрицательный опыт. Думал как и Вы. В итоге я открыл ООО, снял офис, нанял бухгалтера, получил лицензии, оформил платежную систему, вложил деньги в рекламу, и в фирменный стиль. Платил кучу пошлин и налогов. Спустя год закрылся, поняв, что моя идея денег не приносит. Заработало только государство...
Сегодня бы я шел другой дорогой: Сначала запускаем, смотрим, изучаем. Пошли клиенты, - оформляемся, приводим всё в порядок. На этом этапе мы уже понимаем зачем и для чего.
Если Вы такая крупная компания, что Вами уже интересуются, то к этому времени, Вы наверное уже решите административные вопросы. В России VPN НЕ запрещен. Всё остальное решается в установленном порядке.
По поводу moneyback-а:
Даём клиентам не IP, а host. В случае проблем с сервером, пересоздаем их тоннели на другом, меняем IP для host-а и всё. Большая часть клиентов даже не заметит переезд на другой сервер.
В реале же, провайдеры не видят тип трафика, редко кто будет заниматься анализом трафика. Обычно всё сильно проще. Всё сводится к плате за трафик. В договоре обычно прописано, что если исходящий трафик превышает входящий во сколько-то раз, то трафик начинает быть платным. И опять же, не у всех.
Этого достаточно на данном этапе. Это же open-source. Добро пожаловать в разработку, жду от Вас MR )
Всё верно. Но лично у меня проблем не возникало. Кто хочет, тот найдет решение.
Создается, даже новые либы народ пишет.
В целом, не так важно, какой язык. Если продукт востребован, то всегда можно и переписать на что-то более современное. Опять же, если это требуется.
Мне было бы очень интересно посмотреть/почитать о вашей инсталляции.
Этого я не знаю. К счастью, k8s работает очень прозрачно, и многое от нас скрыто под капотом (да, туда можно залезть, но если всё и так работает, то зачем?). Хотите верьте, хотите нет, но k8s запускает pod-ы c уже настроенной сетью, и нам ничего дополнительного делать не нужно.
Если у вас есть желание разобраться в этом глубже, добро пожаловать на Хабр со своей статьей)
Тут два пути:
1) Вы сами создаете нужный вам контейнер, и пишите к нему YAML файл, где и просите у k8s (claim) о диске (если он вам нужен).
2) Используете helm, где для каждого проекта описана необходимость в диске
Вообще, постановка вопроса странная: мне кажется, вы просто обязаны понимать, что делаете и как это должно работать, и нужен ли вам диск.
Спасибо, не знал)
Вы что-то делали не так) Разумеется, если вы используете домен вида: kub01, то он должен резолвится. Если он прописан в /etc/hosts как 127.0.0.1, то он будет резолвится, и такой ошибки быть не должно. И да, наверное его лучше не прописывать как 127.0.0.1.
Я на эту проблему не попадал, так как hostname серверу задавал уже после инсталляции сервера.
У вас Ubunta? Странно, что python не поставился по зависимостям, при установке самого ceph-deploy…
Я python ставил отдельно, так как была необходимость запускать ansible (для своих целей).
Спасибо за замечание. Подумаю как это решить по изящнее)
Это какой-то windows-way. Всегда бейте себя по рукам за такое)
У меня нет четкого ответа на это. Обычно, k8s сам замечает изменения и перезапускает controller. Но если этого не произошло, то можно перезапустить: kubelet и docker. Если кто знает, как это сделать красиво, отпишитесь.
Если у вас есть «старый» токен, то можно использовать его. Самое простое, это сохранить команду «присоединения», которая пишется после инсталляции k8s (kubeadm init ...).
Если по каким-то причинам, у вас нет этой команды, то смело создавайте новую. Токен присоединения имеет срок истечения, и он пропадет спустя два дня. Главное, успеть присоедениться )
Если же, вы присоединяете ноды спустя два дня, вам всегда потребуется создавать токен присоединения.
Чем пугает 8.8.8.8? его нужно заменить на IP вашего мастера.
Зачем так? Делайте сервис + Ingress.
Но если очень хочется, то iptables вам в помощь (PREROUTING, POSTROUTING).