ITTales :(){ :|:& };:
928
مشترکین
اطلاعاتی وجود ندارد24 ساعت
+177 روز
+3430 روز
- مشترکین
- پوشش پست
- ER - نسبت تعامل
در حال بارگیری داده...
معدل نمو المشتركين
در حال بارگیری داده...
Опубликована запись моего доклада с TIC Conference
https://www.youtube.com/watch?v=9CIMTum9bTA
Talos Linux: You don't need an operating system, you only need Kubernetes / Andrei Kvapil
Tech Internals Conf 2024, Cyprus 19 April 2024
https://internals.tech/2024/abstracts/9887As a group of technology enthusiasts, we have combined our knowledge and experience to create a product aimed at simplifying and improving processes for a wide range of users. Our primary focus is on bare-metal servers, where we traditionally encounter the following problems: Standardization: Despite having identical system components, the methods of deployment and support among clients vary greatly. ...
🔥 11👍 2
Дошли руки поревьювить ПРы в некоторые из моих старых проектов, встречайте новые версии для:
- https://github.com/kvaps/kube-fencing
- https://github.com/kvaps/dnsmasq-controller
Спасибо всем кто делает свой вклад в open source
GitHub - kvaps/kube-fencing: Fencing implementation for Kubernetes
Fencing implementation for Kubernetes. Contribute to kvaps/kube-fencing development by creating an account on GitHub.
👍 5🔥 4❤ 1
Photo unavailableShow in Telegram
Talos Linux: вам не нужна операционная система, вам нужен Kubernetes
Спикер: Andrei Kvapil @kvaps - Ænix
Ведущая: @Fidelina_ru
В эту пятницу 31.05 в 20:00 (по мск)
Прямая трансляция: https://clck.ru/3Ay52DС с ответами на вопросы из чата YouTube
При поддержке:
@kubernetes_ru
@itstand_org
@devops_ru
@cozystack
@ru_talos
@devopsforlove
🔥 8👍 4👎 1🤮 1
Repost from Ænix.io
Вышел релиз Cozystack v0.7.0, который стабилизирует работу с пользовательскими Kubernetes-кластерами и работу с сетью:
- Kube-ovn и Cilium обновлены до последних версий
- Решена проблема с коммуникацией подов в тенант Kubernetes кластерах
- Решена проблема с прокидыванием корректных DNS-серверов в пользовательских кластерах
- Решена проблема с некорректной обработкой пользователей и ролей в конфиге Postgres-приложения
- Решены проблемы с неработающим
externalTrafficPolicy: Сluster
- Теперь для родительского кластера предлагается использовать домен cozy.local, таким образом из tenant Kubernetes кластеров можно достичь сервисы созданные в родительском по single dns name или FQDNRelease v0.7.0 · aenix-io/cozystack
What's Changed etcd: enable autocompact and defrag by @kvaps in #137 switched place -maxdepth im Makefiles by @themoriarti in #140 postgres: fix users and roles by @kvaps in #138 kubernetes: e...
👍 6
Последние несколько дней я потратил на решение проблемы с нерабочим
externalTrafficPolicy: Сluster в Cozystack.
После углублённого анализа кода BPF-программ как всегда оказалось что проблема не там, а в списке девайсов, на которые Cilium добавляет необходимые обработчики.
По умолчанию Cilium собирает список из девайсов, которые содержат InternalAddress ноды и все для которых указаны global unicast маршруты. Девайс ovn0 в этом списке не фигурирует. Однако kube-ovn использует его как для доставки трафика пода на ноды.
На данный момент в Cilium есть возможность передать список девайсов явно, но тогда не будет работать автодетект, или использовать автодетект, но тогда не попадает ovn0, что автоматически делает`externalTrafficPolicy: Сluster` неработоспособным.
Для решения этой проблемы подготовил патч, который добавляет в cilium-agent опцию --enforce-device-detection которая позволяет использовать автодетекшен в дополнение к указаным в списке девайсам. Теперь нужно этот патч отстоять, если у вас есть подходящая user-story, прокоментируйте этот PR плз:
https://github.com/cilium/cilium/pull/32730#issuecomment-2135982096Introduce --enforce-device-detection option by kvaps · Pull Request #32730 · cilium/cilium
Introduce --enforce-device-detection option Helm chart: enforceDeviceDetection option Add tests for EnforceDeviceDetection option Please ensure your pull request adheres to the following guideline...
👍 9🔥 3
Photo unavailableShow in Telegram
Наглядный пример того, как работает DSR
https://cilium.io/blog/2020/02/18/cilium-17/
👍 6
Repost from opennet.ru
Проект Cozystack выпустил Talm, менеджер конфигураций для Talos Linux https://opennet.ru/61223/
Проект Cozystack выпустил Talm, менеджер конфигураций для Talos Linux
Разработчики свободной PaaS-платформы Cozystack подготовили проект Talm, призванный упростить конфигурацию bare-metal серверов для Talos Linux, операционной системы для запуска Kubernetes, которая имеет Kubernetes-подобное API и настраивается одним Yaml-манифестом. Несмотря на то что Talm был создан для описания декларативной установки Cozystack, он не привязан конкретно к этой платформе и может использоваться для управления любыми конфигурациями Talos Linux. Проект развивается под лицензией MPL.
👍 4🔥 4
Repost from Нарыл
Photo unavailableShow in Telegram
Есть такая общеизвестная проблема когда делаешь non-root в k8s: контейнерам нужно биндить порты до 1024, что по умолчанию в Linux запрещено.
Лично по-моему само по себе такое ограничение - архитектурная ошибка в Linux, которая привела к куче проблем и сложностей: сервису, например nginx, нужно стартовать от рута, забиндить порт, а потом дропнуть лишние привилегии. Что уже само по себе звучит не безопасно и разумеется приводило к множеству LPE. А профит с точки зрения ИБ крайне сомнительный. Может быть он был когда на одном сервере одновременно крутился важный сайт на 80 порту и еще сидели руками какие-то непривилегированные пользователи, но сейчас это кажется бесполезным чуть более чем полностью (попробуйте меня переубедить :D)
Параметр ядра net.ipv4.ip_unprivileged_port_start позволяет управлять этим поведением в Linux. Если его установить в значение 0, то любому пользователю будет доступен биндинг любых портов. Параметр net.ipv4.ip_unprivileged_port_start относится к сетевому неймспейсу и у каждого контейнера свой.
При внедрении non-root можно добавлять securityContext.sysctls (net.ipv4.ip_unprivileged_port_start=0) в манифесты, но это требует модификации всех манифестов.
И вот я тут обнаружил что есть другой путь - в конфиге containerd есть опция enable_unprivileged_ports, которая устанавливает net.ipv4.ip_unprivileged_port_start в 0 для всех создаваемых контейнеров.
Другими словами можно поменять один параметр на всех нодах и не возиться с манифестами.
👍 26🔥 5👀 1
Сегодня игрался с SeaweedFS.
Несколько моментов которые для себя заметил:
1. seaweedfs-operator не выглядит завершённым, занёс PR на настройку вебхуков, вроде завелось, но официальный Helm-чарт похоже сейчас в приоритете.
2. postgres в качестве бекенда, интегрируется с CNPG на раз-два, кластер пошатал вроде всё стабильно
3. есть несколько неочевидных вещей с переменными окружения и параметрами вроле
maxVolumes и volumeSizeLimitMB, в документации я объяснений не нашёл, пришлось разбираться на ощупь. Похоже что с SeaweedFS, наилучшая документация - это RTFS
4. в целом понравилось, в идеологию Cozystack ложится как-раз. Будем запускать отедльный кластер на тенанта и давать возможность создавать бакеты в нём.
5. результат: будем адоптить🔥 10
У нас кстати открытая разработка, если кто-то хочет присоединиться и вместе с нами попилить опенсорс, милости просим в канал @cozystack.
Все научим и покажем, ответим на любые вопросы.
В среду будет очередной мит
🔥 1