Управление докер контейнерами

Все, что вы хотели знать о программизме, но боялись спросить.
Аватара пользователя
Marmot
Графоман
Сообщения: 37734
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Управление докер контейнерами

Сообщение Marmot »

borei писал(а): 13 янв 2023, 14:18 Мармот, если вы уже на консуле и енвое - нафиг вы к8 тяните. Ну номад ведь вам сам бог прописал.
Я не знаю как номад работает, в к8 у нас туева хуча сайдкаров поднимается на каждом поде, что значительно облегчает жизнь как владельцам сервисов, так и владельцам сайдкаров, все живут как бы вместе, но в тоже время по отдельности :)
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 42504
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Управление докер контейнерами

Сообщение Stanislav »

Marmot писал(а): 13 янв 2023, 14:59
borei писал(а): 13 янв 2023, 14:18 Мармот, если вы уже на консуле и енвое - нафиг вы к8 тяните. Ну номад ведь вам сам бог прописал.
Я не знаю как номад работает, в к8 у нас туева хуча сайдкаров поднимается на каждом поде, что значительно облегчает жизнь как владельцам сервисов, так и владельцам сайдкаров, все живут как бы вместе, но в тоже время по отдельности :)
Он не про это.
Вот живет Слак сейчас в билдинге - все живут как бы вместе, но в то же время по отдельности.
У билдинга есть управляющая компания - она предоставляют билдинг менеджера, уборщицу, электрика, сантехника, и т.д.
Он предлагает тебе поменять управляющую компанию - будет новый билдинг менеджер, новая уборщица, новый электрик, новый сантехник и т.д.
Нахрена тебе это надо - не знаю :roll:
Аватара пользователя
Marmot
Графоман
Сообщения: 37734
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Управление докер контейнерами

Сообщение Marmot »

Stanislav писал(а): 13 янв 2023, 15:19
Marmot писал(а): 13 янв 2023, 14:59
borei писал(а): 13 янв 2023, 14:18 Мармот, если вы уже на консуле и енвое - нафиг вы к8 тяните. Ну номад ведь вам сам бог прописал.
Я не знаю как номад работает, в к8 у нас туева хуча сайдкаров поднимается на каждом поде, что значительно облегчает жизнь как владельцам сервисов, так и владельцам сайдкаров, все живут как бы вместе, но в тоже время по отдельности :)
Он не про это.
Вот живет Слак сейчас в билдинге - все живут как бы вместе, но в то же время по отдельности.
У билдинга есть управляющая компания - она предоставляют билдинг менеджера, уборщицу, электрика, сантехника, и т.д.
Он предлагает тебе поменять управляющую компанию - будет новый билдинг менеджер, новая уборщица, новый электрик, новый сантехник и т.д.
Нахрена тебе это надо - не знаю :roll:
Ok, почитал я про номад слегка, он оказывается тоже что-то типа подов делать умеет... короче, это все сложилось исторически, когда мы начинали работать с к8, номада либо совсем еще не было, либо он еще в пеленках лежал...
Сейчас что-то менять уже поздно, слишком много в это дело вложено...
borei
Маньяк
Сообщения: 4747
Зарегистрирован: 18 авг 2008, 14:51

Re: Управление докер контейнерами

Сообщение borei »

Stanislav писал(а): 13 янв 2023, 15:19
Marmot писал(а): 13 янв 2023, 14:59
borei писал(а): 13 янв 2023, 14:18 Мармот, если вы уже на консуле и енвое - нафиг вы к8 тяните. Ну номад ведь вам сам бог прописал.
Я не знаю как номад работает, в к8 у нас туева хуча сайдкаров поднимается на каждом поде, что значительно облегчает жизнь как владельцам сервисов, так и владельцам сайдкаров, все живут как бы вместе, но в тоже время по отдельности :)
Он не про это.
Вот живет Слак сейчас в билдинге - все живут как бы вместе, но в то же время по отдельности.
У билдинга есть управляющая компания - она предоставляют билдинг менеджера, уборщицу, электрика, сантехника, и т.д.
Он предлагает тебе поменять управляющую компанию - будет новый билдинг менеджер, новая уборщица, новый электрик, новый сантехник и т.д.
Нахрена тебе это надо - не знаю :roll:
Ну да примерно так. Только номад рвет к8 по производительности и по размеру кластера как тузик грелку.
Да продукт моложе чем кубы, это так.
Сравни workload definition - helm chart vs HCL. Да ну нах этот yaml разгребать.
Короче понятно с вами - консерваторы.
Пошел я доку курить - сервисы по TLS не вяжуться, походу накосячил где-то с сертификатами.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 42504
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Управление докер контейнерами

Сообщение Stanislav »

borei писал(а): 13 янв 2023, 16:28 Сравни workload definition - helm chart vs HCL. Да ну нах этот yaml разгребать.
Короче понятно с вами - консерваторы.
Пошел я доку курить - сервисы по TLS не вяжуться, походу накосячил где-то с сертификатами.
Согласен, хцл лучше, чем хелм, но я предпочитаю джейсон :D
Не консерваторы, а энтерпрайз мышление.
+100500 - чекай сертификаты и их чейны.
borei
Маньяк
Сообщения: 4747
Зарегистрирован: 18 авг 2008, 14:51

Re: Управление докер контейнерами

Сообщение borei »

Ну так и есть забыл проэкспортить селф сигнед рут сертификат, ну и поэтому прокси на отказ не хотел работать с консулом. Хех сейчас заполучил полную сервис меш. Супер. Но мой лаптоп скоро уже лопнет или закипит - 12 виртуальных машин.
borei
Маньяк
Сообщения: 4747
Зарегистрирован: 18 авг 2008, 14:51

Re: Управление докер контейнерами

Сообщение borei »

Stanislav писал(а): 13 янв 2023, 18:29
borei писал(а): 13 янв 2023, 16:28 Сравни workload definition - helm chart vs HCL. Да ну нах этот yaml разгребать.
Короче понятно с вами - консерваторы.
Пошел я доку курить - сервисы по TLS не вяжуться, походу накосячил где-то с сертификатами.
Согласен, хцл лучше, чем хелм, но я предпочитаю джейсон :D
Не консерваторы, а энтерпрайз мышление.
+100500 - чекай сертификаты и их чейны.
Ну блин началось - ынтерпрайз. Суппорт то от хашикорпа весьма и весьма на уровне.
Аватара пользователя
Marmot
Графоман
Сообщения: 37734
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Управление докер контейнерами

Сообщение Marmot »

borei писал(а): 13 янв 2023, 20:10 Ну блин началось - ынтерпрайз. Суппорт то от хашикорпа весьма и весьма на уровне.
Не знаю, не знаю... мутные они какие-то, если честно... они мне ораклов напомнили, в стратегии ценообразования...
borei
Маньяк
Сообщения: 4747
Зарегистрирован: 18 авг 2008, 14:51

Re: Управление докер контейнерами

Сообщение borei »

Запинал я таки полный сервис меш, но тлс пришлось отключать, если сервисы на двух хостах то не работает, если на одном - то ок. понятно что они через loopback общаются, но он ведь TLS не отменяет. Короче не понятно мне все это дело на текущий момент. Однако понятно что где то косяк с сертификатами.
Сегодня ещё промитей с consul discovery прикрутил, все автоматом подхватил.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 42504
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Управление докер контейнерами

Сообщение Stanislav »

borei писал(а): 16 янв 2023, 14:49 тлс пришлось отключать
Вообще, контейнеры не предназначены для работы с шифрованием - дохрена ресурсов уходит на рукопожатия.
По нормальному - вся эта байда должна жить без шифрования в отдельной сети, недоступной другим - например, в отдельном ВЛАНе или отдельном ВПЦ. :wink: Если нельзя отделить, Кюби рекомендует собственную сеть между нодами - я использовал Фланель.
А шифрование терминируется на ингресе.
borei писал(а): 16 янв 2023, 14:49 Однако понятно что где то косяк с сертификатами.
Рут сертификат должен быть запихнут везде. Все остальные сертификаты должны быть подписаны именно этим рутом.
Я не парюсь и обычно тупо выпускаю вайлд-кард сертификат, подписываю его рутом и запихиваю везде.
Не то, чтобы запихиваю, но фолдер хоста с сертификатом монтируется во все контейнеры, но можно и запихивать - хозяин-барин.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 42504
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Управление докер контейнерами

Сообщение Stanislav »

borei писал(а): 16 янв 2023, 14:49 если сервисы на двух хостах то не работает
Да, и сабнеты Докера на разных хостах не должны пересекаться.
borei
Маньяк
Сообщения: 4747
Зарегистрирован: 18 авг 2008, 14:51

Re: Управление докер контейнерами

Сообщение borei »

Stanislav писал(а): 16 янв 2023, 18:32
borei писал(а): 16 янв 2023, 14:49 тлс пришлось отключать
Вообще, контейнеры не предназначены для работы с шифрованием - дохрена ресурсов уходит на рукопожатия.
По нормальному - вся эта байда должна жить без шифрования в отдельной сети, недоступной другим - например, в отдельном ВЛАНе или отдельном ВПЦ. :wink: Если нельзя отделить, Кюби рекомендует собственную сеть между нодами - я использовал Фланель.
А шифрование терминируется на ингресе.
borei писал(а): 16 янв 2023, 14:49 Однако понятно что где то косяк с сертификатами.
Рут сертификат должен быть запихнут везде. Все остальные сертификаты должны быть подписаны именно этим рутом.
Я не парюсь и обычно тупо выпускаю вайлд-кард сертификат, подписываю его рутом и запихиваю везде.
Не то, чтобы запихиваю, но фолдер хоста с сертификатом монтируется во все контейнеры, но можно и запихивать - хозяин-барин.
Там несколько по другому. Коммуникация между двумя сервисами сделана через прокси который envoy. Envoy общается с консулом через шифрованный канал, ну и envoy-to-envoy тоже шифрованный. Контейнеры о шифровке канала вообще не знают, и более того - чтобы достучаться до сервиса, если даже сервис на другом хосте, контейнер стучится на локалхост, там сайдкар который и есть этот самый envoy шлёт запрос уже куда. Я поначалу думал что это жуткий оверхеад, однако сейчас понял что схема очень гибка.
Аватара пользователя
Marmot
Графоман
Сообщения: 37734
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: Управление докер контейнерами

Сообщение Marmot »

borei писал(а): 16 янв 2023, 20:56
Stanislav писал(а): 16 янв 2023, 18:32
borei писал(а): 16 янв 2023, 14:49 тлс пришлось отключать
Вообще, контейнеры не предназначены для работы с шифрованием - дохрена ресурсов уходит на рукопожатия.
По нормальному - вся эта байда должна жить без шифрования в отдельной сети, недоступной другим - например, в отдельном ВЛАНе или отдельном ВПЦ. :wink: Если нельзя отделить, Кюби рекомендует собственную сеть между нодами - я использовал Фланель.
А шифрование терминируется на ингресе.
borei писал(а): 16 янв 2023, 14:49 Однако понятно что где то косяк с сертификатами.
Рут сертификат должен быть запихнут везде. Все остальные сертификаты должны быть подписаны именно этим рутом.
Я не парюсь и обычно тупо выпускаю вайлд-кард сертификат, подписываю его рутом и запихиваю везде.
Не то, чтобы запихиваю, но фолдер хоста с сертификатом монтируется во все контейнеры, но можно и запихивать - хозяин-барин.
Там несколько по другому. Коммуникация между двумя сервисами сделана через прокси который envoy. Envoy общается с консулом через шифрованный канал, ну и envoy-to-envoy тоже шифрованный. Контейнеры о шифровке канала вообще не знают, и более того - чтобы достучаться до сервиса, если даже сервис на другом хосте, контейнер стучится на локалхост, там сайдкар который и есть этот самый envoy шлёт запрос уже куда. Я поначалу думал что это жуткий оверхеад, однако сейчас понял что схема очень гибка.
Кстати, мы весь внутреннуй трафик шифруем вот так https://nebula.defined.net/docs, т.е. для всех компонентов все выглядит как plain text...
borei
Маньяк
Сообщения: 4747
Зарегистрирован: 18 авг 2008, 14:51

Re: Управление докер контейнерами

Сообщение borei »

Marmot писал(а): 17 янв 2023, 12:54
borei писал(а): 16 янв 2023, 20:56
Stanislav писал(а): 16 янв 2023, 18:32
borei писал(а): 16 янв 2023, 14:49 тлс пришлось отключать
Вообще, контейнеры не предназначены для работы с шифрованием - дохрена ресурсов уходит на рукопожатия.
По нормальному - вся эта байда должна жить без шифрования в отдельной сети, недоступной другим - например, в отдельном ВЛАНе или отдельном ВПЦ. :wink: Если нельзя отделить, Кюби рекомендует собственную сеть между нодами - я использовал Фланель.
А шифрование терминируется на ингресе.
borei писал(а): 16 янв 2023, 14:49 Однако понятно что где то косяк с сертификатами.
Рут сертификат должен быть запихнут везде. Все остальные сертификаты должны быть подписаны именно этим рутом.
Я не парюсь и обычно тупо выпускаю вайлд-кард сертификат, подписываю его рутом и запихиваю везде.
Не то, чтобы запихиваю, но фолдер хоста с сертификатом монтируется во все контейнеры, но можно и запихивать - хозяин-барин.
Там несколько по другому. Коммуникация между двумя сервисами сделана через прокси который envoy. Envoy общается с консулом через шифрованный канал, ну и envoy-to-envoy тоже шифрованный. Контейнеры о шифровке канала вообще не знают, и более того - чтобы достучаться до сервиса, если даже сервис на другом хосте, контейнер стучится на локалхост, там сайдкар который и есть этот самый envoy шлёт запрос уже куда. Я поначалу думал что это жуткий оверхеад, однако сейчас понял что схема очень гибка.
Кстати, мы весь внутреннуй трафик шифруем вот так https://nebula.defined.net/docs, т.е. для всех компонентов все выглядит как plain text...
Если я правильно понял то такая же схема в nomad, но взаимодействие сервисов и шифрование трафика между ними делается с помощью envoy. Я сейчас усиленно курю его доку, чтобы запустить как edge proxy.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 42504
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: Управление докер контейнерами

Сообщение Stanislav »

borei писал(а): 17 янв 2023, 17:34
Marmot писал(а): 17 янв 2023, 12:54
borei писал(а): 16 янв 2023, 20:56
Stanislav писал(а): 16 янв 2023, 18:32
borei писал(а): 16 янв 2023, 14:49 тлс пришлось отключать
Вообще, контейнеры не предназначены для работы с шифрованием - дохрена ресурсов уходит на рукопожатия.
По нормальному - вся эта байда должна жить без шифрования в отдельной сети, недоступной другим - например, в отдельном ВЛАНе или отдельном ВПЦ. :wink: Если нельзя отделить, Кюби рекомендует собственную сеть между нодами - я использовал Фланель.
А шифрование терминируется на ингресе.
Там несколько по другому. Коммуникация между двумя сервисами сделана через прокси который envoy. Envoy общается с консулом через шифрованный канал, ну и envoy-to-envoy тоже шифрованный. Контейнеры о шифровке канала вообще не знают, и более того - чтобы достучаться до сервиса, если даже сервис на другом хосте, контейнер стучится на локалхост, там сайдкар который и есть этот самый envoy шлёт запрос уже куда. Я поначалу думал что это жуткий оверхеад, однако сейчас понял что схема очень гибка.
Кстати, мы весь внутреннуй трафик шифруем вот так https://nebula.defined.net/docs, т.е. для всех компонентов все выглядит как plain text...
Если я правильно понял то такая же схема в nomad, но взаимодействие сервисов и шифрование трафика между ними делается с помощью envoy. Я сейчас усиленно курю его доку, чтобы запустить как edge proxy.
Ну так вот это оно и есть - своя собственная сеть с собственным раутингом.
Некоторые называют - софтваре-дефайнед нетворк.
Прокси - неправильное название. Правильно - раутер. :D
Про жуткий оверхед - вспомни, как организован (софтваре-дефайнед) диск у виртуальной машины, когда он лежит на САН :D
Ответить