Wpis z mikrobloga

Skopiuj link

konto usunięte 02.01.2022, 12:31:20

Czy da sie w #kubernetes dodac workerow do warstwy z jakiegos prywatnego adresu IP? Ze np sobie stawiam jakiegos mastera na VPS, a np 3 workery to beda na #raspberrypi w domu. Na stack overflow, ktos tu mowi, ze mozna schowac workerow za load balancerem, ale czy ktos z Was testowal takie rozwiazanie?

#programowanie #devops

y.....l

konto usunięte 02.01.2022, 12:48:53

@przepyszna_frytka: Tak, działa, musza się tylko widzieć sieciowo.

p.....a

konto usunięte 02.01.2022, 14:40:24 via Android

@yggdrasil a czy bedzie to bezpieczne? Tzn czy z poziomu poda ktos bylby w stanie uzyskac dostep do hosta/sieci, do ktorej jest podlaczony host?

y.....l

konto usunięte 02.01.2022, 14:45:01

@przepyszna_frytka: No tak. To jest podstawowe założenie sieciowe przecież. Każdy pod może gadać z każdym podem i z każdym hostem. Jeżeli masz w sieci inne zabawki to musisz sobie wyciąć na firewallu.

p.....a

konto usunięte 02.01.2022, 16:30:10 via Android

@yggdrasil hmm a jak wygladalaby taka konfiguracja firewalla/sieci by "oddzielic" pody od hosta?

y.....l

konto usunięte 02.01.2022, 16:33:45

@przepyszna_frytka: Jak oddzielić pody od hosta? To jest przecież wymaganie k8s, żeby można było się połączyć między podem a hostem.

p.....a

konto usunięte 02.01.2022, 17:15:44 via Android

@yggdrasil tzn mi bardziej chodzi o to jak oddzielic pody od innych aplikacji/uslug w tej samej sieci - zalozmy, ze mam 4 raspberry pi z takimi adresami IP:
X - 10.0.0.1
A - 10.0.0.2
B - 10.0.0.3
C - 10.0.0.4
I zalozmy, ze A B C to sa te pody, a na X sa inne aplikacje. Jakie reguly na firewallu powinienem ustawic, zeby A B C nie mialo dostepu do innych

y.....l

konto usunięte 02.01.2022, 17:21:46

@przepyszna_frytka: Nie, nie, nie. To tak nie działa.

Masz sobie Node, czyli fizyczne rpi. Maja adresy np. 10.0.0.1, 10.0.0.2
To są Node kubernetesa. W środku masz inna siec, w której działają pody, to jest realizowane np. przez calico albo cokolwiek innego, co implementuje container network interface. Przez to Twój pod ma adres np. 192.168.0.1. Ten pod może się łączyć z 10.0.0.1 i vice versa. Może się tez łączyć z 10.0.0.15,

p.....a

konto usunięte 02.01.2022, 17:33:04 via Android

@yggdrasil aa dobra i wtedy jakie reguly na firewallu ustawic, zeby te fizyczne rpi i pody na nich byly odciete od tych innych urzadzen jak np ten komputer 10.0.0.15?