Спасибо за рассказ, но остался непонятным один момент. Отключение Firewall. ИБ за такое по головке не поглядят. У нас открыты диапазоны портов, которые использует kubernetes, но все остальное закрыто. Проблем в работе не наблюдал. Кластер разворачивается через rancher. Сеть строится на weave.
@OldPythonKAA3 жыл бұрын
"Случаи бывают разные" (с) старый грузинский анекдот. Если подумать, то ноды кластера не стоит выставлять в инет, а крутить во внутреннем контуре. Делать пограничный роутер и через него давать доступы. На самом кубере. Если ожидаются проблемы от зловредных программеров, включать _механизмы кубера_ по ограничению сетевых взаимодействий. От сетевых политик до сервис меш. Правила фаервола Линукс тут не помогут.
@serogavalapinaga29503 жыл бұрын
@@OldPythonKAA firewall не предназначен для регулирования правил внутри кубера. Не представляю кто может так думать. Что качается пограничного роутера, то это касается доступов в кластер из вне, сам кластер размещается в DMZ. Естественно никто не будет выводить api во вне, только 80 или 443 порты. Но отключенный firewall не защитит ноды кластера, если соседний по сети сервис компании стал потенциальной угрозой. Поэтому требования ИБ строги и требуют включенного firewall. Резать отдельный изолированный влан под кластер и закрывать его acl не самая приятная для телекома затея. Поэтому в сети /21 с кластером живут и другие сервисы компании, за которые я не в ответе, но для кластера они являются вероятной угрозой. Возможно что в разных компаниях ИБ выставляет более низкие требования, но у нас за отключенные фаерволы могут наругать. К тому же периодически проводятся пентесты и сканирования сети.
@OldPythonKAA3 жыл бұрын
Повторюсь: "Случаи бывают разные" (с) старый грузинский анекдот. Про ИБ: у всех фломастеры разные. Кто то любит зелёный. Кто то чёрный. Про сетевую инфраструктуру: у всех пауки своей системы. Плетут сети как хотят. Ставят фаерволы где хотят. Могут кластер кубера в отельный кокон поставить, а могут и на общей нитке повесить. Про потребности: тут я сначала написал много буковок, но потом подумал и стер. Это видео отправная точка для развития. Я дал пинка для мозговой деятельности, а дальше уж Вы сами. Если у вас есть дополнительные ограничения, ну так в чем проблема? :) Добавляйте мясо на скелет.
@ArtemListopad-r2o3 жыл бұрын
Отлично, что есть видео с планированием, где показано что и как будет, Спасибо! Хотелось бы параллельно и поднимать всю эту инфраструктуру. Но вот у меня только ноут на i7 с 16Гб оперативки, боюсь тякжко ему будет, если все виртуалки будут работать одновременно. Отсюда вопрос - в каком облаке можно было бы поднять виртуалки, чтоб бесплатно или по минимальной стоимости. У амазона есть t2.micro - только не знаю сколько их бесплатных штук можно сделать? В общем, где можно развернуть подобную инфру, чтоб минимально по деньгам?
@OldPythonKAA3 жыл бұрын
Можно я не буду отвечать на Ваш вопрос?
@4ekHorrisa3 жыл бұрын
пару недель с вопросов прошло, но все же поделюсь своим опытом, может кому то интересно будет, т.к. когда то тоже для себя занимался кубером, а для поднятия на локальной машине кучу виртуалок не было ни ресурсов ни желания. так вот, шел в гугл и искал агрегатор-поисковик впс'ок, прям в гугле можно поиск/агрегатор впс, чтобы подобрать оптимально по цене-ресурсам, их объеденяешь в впн сеть как тебе удобнее и в целом на этом все п.с. амазоновскими впсками не пользовался, но вроде описанный выше способ существенно дешевле п.п.с. спасибо Артуру за видео, очень полезные материалы
@linuximlinuxim3480 Жыл бұрын
Вот очень много всего, много ... но, где полезные пошаговые плейлисты от установки кластера до запуска приложения? В каждом видео только отсылка ( а помните я уже об этом говорил? ) Может составите полезный плейлист, что бы не искать где вы там чего то говорили?
@OldPythonKAA Жыл бұрын
Вы не видите плейлисты у меня на канале?
@linuximlinuxim3480 Жыл бұрын
@@OldPythonKAA Конечно вижу, но тема слишком большая, начинаешь смотреть плейлист, и он не закончен, внернее нет этапа... Сумбурно все как то... Я про то, что нет полезного плейлиста например Запуск Joomla от А до Я... И там уже по ходу давали бы ссылки на ваши видео, где можно посмотреть подробно о сервисах ингресах и тд. А так нет четкого понимания с чего начать смотреть ваши видео, у куда двигаться.... А так да, ваши ролики просто супер.....
@OldPythonKAA Жыл бұрын
Это не образовательный канал. Это канал имени моего склероза. :) Что бы, если я чего то забыл, можно было бы вернуться и посмотреть. Пошаговые инструкции можно получить на курсах. Например у слермовцев. Там всё по полочкам разложено.
@s78ap3 жыл бұрын
А как backup делать? ставили apiVersion: snapshot.storage.k8s.io/v1 kind: VolumeSnapshotClass??
@OldPythonKAA3 жыл бұрын
Это видео не про бэкапы. Предполагается, что инфраструктура в виде неких машин, дисковых подсистем уже есть. Бэкап делает тот, кто предоставляет нам дисковую подсистему.