Как стать автором
Обновить

Комментарии 10

Центр разработки Kubernetes находится в Самарканде
Спасибо за пост. Как же теперь получать секрет с TLS сертификатом?

kubectl get secret my-tls-certificate -o yaml и удалять строки с метаданными о статусе?

Добавили возможность создавать защищенные от изменений секреты и конфиг мапы. Видимо, защита от джунов, которые "pushed bad configuration". На мой взгляд, ConfigMap надо деплоить через helm чарты, а секреты хранить в Vault. Там, где есть история изменений, а ваш CI/CD не должен позволять выкатывать нерабочие конфиги на прод.

надеюсь, это будет отключаемой функцией — через тот же фиче-гейт...


Поддержка IPv6 теперь включена по умолчанию, единственная тонкость — ваш CNI также должен уметь в Dual-Stack. Calico умеет)

cilium, cilium, cilium, cilium… или на худой конец — kube-router

А есть ли какой нибудь толковый обзор CNI?
Да и вообще как реализовать работу с сетью в кластере
А то только начинаю втягиваться и трудно выбрать

Очевидно, от задач зависит.
Например, в облаке — берете то, что есть там. Кто-то хочет ISTIO — и приходится Istio CNI тащить. Кто-то хочет шифрование поверх публичных сетей. У кого-то задача делать очень быструю сеть с минимальными задержками
Более того — можно комбинировать разные CNI.
Флант, например, flannel+kube-router используют.
Мы попробовали cilium+kube-router (ждем, когда BGP затащат в сам cilium).
А вообще — есть куча различных сравнений: https://itnext.io/benchmark-results-of-kubernetes-network-plugins-cni-over-10gbit-s-network-updated-august-2020-6e1b757b9e49

istio CNI — это не про сеть в кластере, это костыль, который позволяет istio настроить iptables в контейнере, при включенном PSP.
flannel с hostgw — просто и быстро. Выбирай когда все узлы кластера в одной локалке и не нужны NetworkPolicy

calico — достаточно просто и универсально. Выбирай в остальных случаях

cillium — обменять +200 к сложности на +1% к скорости. Явно не для новичка выбор
cillium — обменять +200 к сложности на +1% к скорости. Явно не для новичка выбор

зато там обзервабилити инструменты классные и за ним будущее.


calico — достаточно просто и универсально. Выбирай в остальных случаях

тогда уж лучше Kube-router, не? Не слышал ни одного плохого отзыва о нем. Из несомненных плюсов — и NP, и использование стандартных средств линукс (айпитбейлз и пр) для организации сети

Сложность не пугает, можно разобраться, особенно если нет ограничения по времени на внедрение. Меня например интересует поддержка IPv6, а так же наверно шифрование трафика, так как сеть между нодами публичная (хоть и в одном ДЦ). А так же например интересует возможность ограничить CNI в пределах backend сети, что бы он не вмешивался в настройки публичной сети. Ну или я могу сам поднять IPSec между нодами и объединить их, но мне нужно что бы CNI не мешал в данном варианте. По сравнениям, их конечно много и поэтому тяжелее на начальном этапе определить что лучше подойдет. Так же немного пугает время жизни релизов самого кубика, и периодические переезды api (alpha / beta / depricated / ...)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.