DK
лучше спросить в kubernetes_ru, этот вопрос не специфичен только для EKS
Там идей ни укого нет :(
Size: a a a
2021 March 05
DH
лично у меня отваливались вебхули после включения сетевых политик. пока они отключены - все работало на виртуальной сетке калико
DH
по сути там получается, что апи не может пойти и сделать хелсчек, из-за этого вебхуки не работают
DI
У меня таой собственно вопрос, если у меня есть EKS туда накатили calico то потом например cert-manager уже не будет работать никак без режима hostNetwork? Или можно доконфигурировать что-то?
Тоже самое касается валидейшен вебхуков с nginx ingress. Не работают без hostNetwork но работают с этой опцией. Есть варианты настроить все это (calico) чтобы cert-manager и nginx ingress работали на calico сети?
Тоже самое касается валидейшен вебхуков с nginx ingress. Не работают без hostNetwork но работают с этой опцией. Есть варианты настроить все это (calico) чтобы cert-manager и nginx ingress работали на calico сети?
используем EKS + Calico + Istio (от nginx отказались в пользу Istio)
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
A
используем EKS + Calico + Istio (от nginx отказались в пользу Istio)
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
istio хорошо, но app mesh лучше
DK
используем EKS + Calico + Istio (от nginx отказались в пользу Istio)
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
Я вижу что у вас cert-manager не в режиме hostNetwork, вы в calico прописывали доп политики чтобы была коммуникация api-server -> cert-manger pod?
DI
ничего не прописывали
DK
Хмм
DK
Спасибо, попробую поставить как у вас
DK
Если с политиками не выйдет
DI
по nginx-ingress по-моему hostNetwork без вариантов
DK
Так а этот hostNetwork, это требование чего в целом?
DH
у вас без хост нетворка не будут работать хелсчеки от куб апи
DH
он просто не сможет достучаться до эндпоинта
DI
там был ньюанс и он описан в доке, но я сейчас не вспомню
DH
используем EKS + Calico + Istio (от nginx отказались в пользу Istio)
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
helm repo add eks https://aws.github.io/eks-charts
helm repo add jetstack https://charts.jetstack.io
helm upgrade --install aws-calico --namespace kube-system eks/aws-calico
helm upgrade -install cert-manager jetstack/cert-manager \
--set installCRDs=true \
--set serviceAccount.annotations.eks\\.amazonaws\\.com/role-arn=arn:aws:iam::XXX:role/$WORKSPACE-cert-manager \
--set securityContext.enabled=true \
--set securityContext.fsGroup=1001 \
--namespace cert-manager --create-namespace -f cert-manager/values.yaml --wait
networkpolicy используете?
DK
Это очень странно что cert-manager у вас работает без hostNetwork а nginx ingress работал
DK
Ведь у обоих есть вебхуки
DK
Я пытаюсь настроить так чтобы обойтись без hostNetowrk и не могу понять это вообще возможно в принцепе или нет
DI
для calico - global deny