Это интересный вариант, но в условиях нестабильного интернета может получиться ситуация, когда пользователь запросил обновление токенов, а из-за проблем со связью, ответ до пользователя не дошел (а на сервере токен уже пометили как использованный). И повторный запрос фактически разлогинит нашего пользователя.
Сложно найти баланс между удобством, отказоустойчивостью и безопасностью.
У меня свой велосипед в сервисе аутентификации, но суть такая же, refresh-токен в httpOnly куке, с ограниченным path (только на продление токенов). Хотелось бы услышать минусы.
Я в экспериментах делал через host network, без metallb. Т.е. ingress (nginx) разворачивал на определенных нодах и на IP этих нод заворачивал трафик. В случае с NAT это не особо отказоустойчиво, но если на нодах с ingress есть белый IP адрес, то отказоустойчивость можно уже сделать через DNS.
У меня обычный набор виртуалок от обычного облачного провайдера с возможностью локальной сети между виртуалками. Белый IP есть на каждой ноде, но на большинстве я этот интерфейс отключаю ради безопасности.
И опять нормально про балансировщик никто не рассказал. Что, куда, как. Я, конечно, документацию читал и даже примерно представляю как должно быть это все организовано... Но хотелось бы увидеть решения более опытных коллег.
Практически во всех статьях кубер и балансировщик сидят в одной локальной сети и никто не рассказывает как на этот ваш кластер правильно подать единственный белый IP. Всегда "это не входит в рамки статьи"
Сейчас у нас несколько серверов с голым докером, который пишет логи в syslog. Попытки заменить это все на кубер заканчивалось тем, что система логирования (ELK) требует выделить под это все еще один сервер как минимум. Вариант с Loki, конечно, легковеснее, но все-равно.
А вот то что fluent-bit может писать в syslog - это открытие надо пощупать. Это то что нам и нужно.
Проблема не в логах как таковых, а в "кибаноподобных монстрах", которые хотят ресурсов как не в себя, даже если логов там всего пара десятков мегабайт в день.
Больше смущает, что при обновлении Carbonio все внесенные изменения в такие файлы просто откатятся к оригинальным. А при каждом обновлении ходить и редактировать подобные файлы - то еще удовольствие.
Для веб-интерфейсов есть grpc-web, который, в принципе, поддерживает почти все нужные плюшки grpc (со стримингом только шляпа, поддерживается только серверный и автореконнекта в клиенте нет, нужно колхозить свой велосипед). Объем библиотеки не так уж и велик, у нас в проекте админки vuetify больше весит. Кодогенерация на основе proto-файлов устраняет много ручной работы, что однозначно перевешивает немногие минусы.
Но на беке к реализации grpc для некоторых языков есть вопросы (не буду показывать пальцем в Python)
У нас же твитер и так заблочен? Трафика из РФ должно быть минимум (а в идеале вообще быть не должно), и уж точно не от крупных операторов. Кого там банил Илон тогда?
Когда только появились телефон с микросим (вроде так), а в салонах были только обычные симки, специальной приспособой обычную симку обрезали до размеров микросим. С наносим так не сработает? Чип в центре и его зацепить не должно, контакты большие.
Очки сами по себе неудобны, да еще и автономность не очень (в тех моделях что читал). По реализации дополненной реальности ближе всего Маск с его нейролинком. Но до реальных прототипов именно дополненной реальности без внешнего обвеса (чип не считается) еще лет 20 если не больше.
Это интересный вариант, но в условиях нестабильного интернета может получиться ситуация, когда пользователь запросил обновление токенов, а из-за проблем со связью, ответ до пользователя не дошел (а на сервере токен уже пометили как использованный). И повторный запрос фактически разлогинит нашего пользователя.
Сложно найти баланс между удобством, отказоустойчивостью и безопасностью.
У меня свой велосипед в сервисе аутентификации, но суть такая же, refresh-токен в httpOnly куке, с ограниченным path (только на продление токенов).
Хотелось бы услышать минусы.
Я в экспериментах делал через host network, без metallb. Т.е. ingress (nginx) разворачивал на определенных нодах и на IP этих нод заворачивал трафик. В случае с NAT это не особо отказоустойчиво, но если на нодах с ingress есть белый IP адрес, то отказоустойчивость можно уже сделать через DNS.
У меня обычный набор виртуалок от обычного облачного провайдера с возможностью локальной сети между виртуалками. Белый IP есть на каждой ноде, но на большинстве я этот интерфейс отключаю ради безопасности.
И опять нормально про балансировщик никто не рассказал. Что, куда, как.
Я, конечно, документацию читал и даже примерно представляю как должно быть это все организовано... Но хотелось бы увидеть решения более опытных коллег.
Практически во всех статьях кубер и балансировщик сидят в одной локальной сети и никто не рассказывает как на этот ваш кластер правильно подать единственный белый IP. Всегда "это не входит в рамки статьи"
Консолью. У нас нет необходимости в каком-то веб-интерфейсе и прочих свистелках для просмотра логов.
Легковеснее сислога нет ничего, наверное :)
Тут уже подсказали как научить кубер писать в сислог, буду экспериментировать.
Сейчас у нас несколько серверов с голым докером, который пишет логи в syslog. Попытки заменить это все на кубер заканчивалось тем, что система логирования (ELK) требует выделить под это все еще один сервер как минимум.
Вариант с Loki, конечно, легковеснее, но все-равно.
А вот то что fluent-bit может писать в syslog - это открытие надо пощупать. Это то что нам и нужно.
Проблема не в логах как таковых, а в "кибаноподобных монстрах", которые хотят ресурсов как не в себя, даже если логов там всего пара десятков мегабайт в день.
Емнип они уже в свободной продаже. На ютубе есть видосы от Adam Savage с его издевательствами над Spot.
Больше смущает, что при обновлении Carbonio все внесенные изменения в такие файлы просто откатятся к оригинальным.
А при каждом обновлении ходить и редактировать подобные файлы - то еще удовольствие.
Самая первая строчка в salocal.cf.in: Do not modify this file
grpc умеет в http3, в последнем Net7.0 добавили поддержку, как в остальных языках - не знаю, не интересовался.
Для веб-интерфейсов есть grpc-web, который, в принципе, поддерживает почти все нужные плюшки grpc (со стримингом только шляпа, поддерживается только серверный и автореконнекта в клиенте нет, нужно колхозить свой велосипед).
Объем библиотеки не так уж и велик, у нас в проекте админки vuetify больше весит.
Кодогенерация на основе proto-файлов устраняет много ручной работы, что однозначно перевешивает немногие минусы.
Но на беке к реализации grpc для некоторых языков есть вопросы (не буду показывать пальцем в Python)
У нас же твитер и так заблочен? Трафика из РФ должно быть минимум (а в идеале вообще быть не должно), и уж точно не от крупных операторов.
Кого там банил Илон тогда?
Когда только появились телефон с микросим (вроде так), а в салонах были только обычные симки, специальной приспособой обычную симку обрезали до размеров микросим.
С наносим так не сработает? Чип в центре и его зацепить не должно, контакты большие.
TOTP тоже такое. Потерял девайс с генератором и все. С смс проще - пошел и восстановил симку.
У каждого способа свои недостатки.
Очки сами по себе неудобны, да еще и автономность не очень (в тех моделях что читал). По реализации дополненной реальности ближе всего Маск с его нейролинком. Но до реальных прототипов именно дополненной реальности без внешнего обвеса (чип не считается) еще лет 20 если не больше.
На оффсайте написано, что кроме магазина приложений (какого?) можно ставить APK с флешки.
Теперь Алиса сможет не только послушивать и подглядывать, но еще и показывать что она про вас(нас) думает!
Почему, когда сравнивают Apache Cassandra с любыми другими СУБД, совершенно забывают про Scylla, которая по сути клон Apache Cassandra, но быстрее?