а вы его в проде гоняете ?

Нет конечно

Ситуация следующая. Нам очень понравилось, это явно будущее. Куча плюсов, нет идиотских легаси решений, работает быстрее, прямая архитектура, вот это все. Но! Мы решили пока не использовать – в отличие от обычного сетевого стека, в котором мы хорошо разбираемся, в этой штуке никто пока не разбирается. А сложность у нее колосальная. Все баги в сетевом стеке пойманы давно (хотя вот тут недавно на 5-м ядре у нас NAT для ICMP поломался, кажется так и не разобрались почему, но не суть), я бы даже сказал – они пойманы до нас. А в этой штуке, какая бы она ни была прикольная, все равно будут баги и их все равно надо ловить. Мы обязательно будем что-то делать с cilium, но не раньше следующего года и не в проде. Можно его запихать на год другой во все девы и уже тогда думать, что дальше. И да, спасибо за вопрос!

ну и вообще, если  кому интересно )

Столяров молодец

это же флант?

это, кстати, демонстрирует подход - взяли протестировали, взвесили, отложили

лойс

да

те самые "хипсторы которые что попало тащут в куб"

А опеншифт не осилили 😂

Это кровавый энтерпрайз. По собственной воле туда мало кто лезет 🙂

>в сетевом стеке пойманы давно

смелое утверждение

Пост от нас как апдейтить https сертификаты с крончиком и certbot-auto
https://corpglory.com/s/cron-https/

Хорошая статья про крон. Но я немного не понял - а как апдейтить сертификаты?

certbot этим занимается

Спасибо! Теперь я все понял

парни, это какая-то боль, а не статья.

certbot-auto - это тулза которая устанавливает certbot, больше она ничего не делает.
certbot с собой приносит и запись в /etc/cron.d и таймер обновления сертификата для systemd-timers  - и если на машине есть systemd, то cron не активируется.

если certbot поставился - руками делать ничего больше не нужно
постхук про релоад nginx можно записать в /etc/letsencrypt/cli.ini

и рекомендуется запускать certbot два раза в сутки.