Комментарии 16
. Существует два основных издания Astra Linux: бесплатный Common Edition и платный Special Edition, который предоставляет более защищённую сертифицированную версию. Так как мы будем раскатываться на промышленных контурах, то в рамках данной статьи мы будем рассматривать только Special Edition;
Common Edition уже пару лет как заброшен. на оффсайте висит плашка:
ОС Astra Linux Common Edition, доступная для физических лиц, на данный момент неактуальна, не получает обновления и не лицензируется для использования юридическими лицами.
если параметр sysctl net.ipv4.ip_forward на хосте Linux установлен в значение 0 (отключено), то пересылка пакетов IPv4 отключается
А вы считаете, что он где-то включен по дефолту ? )
Вы правы, по дефолту этот параметр всегда отключен. Но ряд облачных ДЦ при создании ВМ выставляют этот параметр в 1 по дефолту. Иногда мы сталкивались с тем, что люди, которые последние годы работали только с облаками, забывают про базовое значение net.ipv4.ip_forward, поэтому я указал этот как пример
Если не секрет, почему выбрали установку ванильного K8s на Астру? Какие плюсы и минусы по сравнению с тем что предлагает сама Астра в качестве своей «платформы» (nodus) ?
Это было одним из основных условий первой подобной задачи: решение должно было быть максимально опенсорсным, не привязанным к какой-то платформе. Из основных минусов - это построение большого количества велосипедов для достижения удобства. Из плюсов - гибкость инфраструктуры, открытость системы, которая позволяет спокойно ставить специфичное ПО, патчить элементы и т.д, а также бесплатная основа (тот же Nodus стоит 2 100 000 рублей в год).
Вечный вопрос выбора - брать опенсорс и строить свое решение вокруг него или покупать готовое, попадая в зависимость от вендора. Не факт, что первое будет дешевле - все-таки большое количество велосипедов требует и времени, и квалификации у тех кто это делает и поддерживает. А потом может оказаться, что нужно переделывать с учетом новой версии Астры. Поэтому конечно ваша статься очень актуальна, интересно понять сколько же велосипедов нужно для Астры.
Зачем же тогда в этой схеме платная кривая Astra?
Заказчик с биполяркой? Я бы ещё понял, если "завалите меня импортозамещением, у меня вагон бабла", и тогда вы тот же nodus использовали бы и астровскую же замену Заббикса за миллионы денег.
Т.е ему нужно шашечки или ехать? Если шашечки, то одной импортоизнасилованной ОС тут мало, если ехать - то она тут не нужна.
Но что-то мне подсказывает, что ему таки нужно ехать, но не привлекая внимания санитаров.
А вот взяли бы Deckhouse от Флант и не надо было все это настраивать. Там уже из коробки поддержка Астры
Получается нужно ещё Питон 3.10 из внешнего репозитория установить: в репах Астры 1.7.5 более старая версия. А в репозитории Астры 1.8.x уже есть Питон 3.11.
Попробуйте установить через Kubeadm, намного все проще. Kubespray на мой взгляд уже не актуально.
А как решен вопрос, с тем, что в Astra Linux SE Кубернетес не является сертифицированым решением по требованиям к средствам контейнеризации (118 приказ ФСТЭК)? Если у вас есть хоть какое-то требование к безопасности, регулируемое в РФ (ИСПДн, ГИС, КИИ), кроме требования к импортозамещению, то как проект такого решения согласован Заказчиком и ФСТЭК?
Не понятно зачем брать астру SE, ковырять её ядро, накатывать оркестратор от "недружественного" производителя, все эти манипуляции сводят на нет всю "защищённость" Астры, и по секрету, сертификат Астры распространяется исключительно на репозиторий "main" он же установочный диск, по этому я не понимаю цели сего мероприятия, если просто "потому что могу", тогда прям респект, а если это реальное т.з., что же... остаётся только посочувствовать...
Неприятный факт, который вскрылся в процессе развертывания: расширенная документация с описанием часто встречающихся проблем доступна только в платном виде.
Если у вас куплена Астра, то есть учетка от Личного кабинета и соответственно доступ к базе знаний. Должно так работать.
Спускаясь с облаков в ад: развёртывание Kubernetes на Astra Linux. Часть 1