КК
Монолог длиной в неделю :)
Size: a a a
2019 March 21
GG
допер как создать кастомный gateway controller, смог с него направить трафик в сервисмеш, а наружу... затых, может надо serviceentry создать, может не надо... хз короче )
а наружу оно же само должно, не?
A
до 1.1 надо был либо явно прописывать подсети куда можно, либо создавать ServiceEntry описывающие куда можно, причем если вы в ServiceEntry указал например "*.google.com" разрешенными то на каждый хост (apis.google.com, www.google.com и тп) надо было явно задать VirtualService (см выше)
в 1.1 можно VirtualService явно не задавать, плюс появилась опция "разрешить исходящий трафик" и она даже стоит по дефолту - что конечно сильно понизит порог вхождения в меш 🙂
в 1.1 можно VirtualService явно не задавать, плюс появилась опция "разрешить исходящий трафик" и она даже стоит по дефолту - что конечно сильно понизит порог вхождения в меш 🙂
A
но это не то, мне-то как раз нужно чтобы снаружы можно было
текушее поведение: вася -> nginx ingress -> service
хочу сделать: вася -> istio gateway -> {servicemesh / magic} -> service
ну или вообще как-то сервисмеш обогнуть 🙂
не то чтобы это прям мне надо, просто интересно было бы от ingress избавиться и делать все через одну сущность раз ее уже использую
текушее поведение: вася -> nginx ingress -> service
хочу сделать: вася -> istio gateway -> {servicemesh / magic} -> service
ну или вообще как-то сервисмеш обогнуть 🙂
не то чтобы это прям мне надо, просто интересно было бы от ingress избавиться и делать все через одну сущность раз ее уже использую
2019 March 23
AK
но это не то, мне-то как раз нужно чтобы снаружы можно было
текушее поведение: вася -> nginx ingress -> service
хочу сделать: вася -> istio gateway -> {servicemesh / magic} -> service
ну или вообще как-то сервисмеш обогнуть 🙂
не то чтобы это прям мне надо, просто интересно было бы от ingress избавиться и делать все через одну сущность раз ее уже использую
текушее поведение: вася -> nginx ingress -> service
хочу сделать: вася -> istio gateway -> {servicemesh / magic} -> service
ну или вообще как-то сервисмеш обогнуть 🙂
не то чтобы это прям мне надо, просто интересно было бы от ingress избавиться и делать все через одну сущность раз ее уже использую
ты хочешь далеть роутинг через istio на поды без sidecar'а чтоли? Вопрос непонятен
MF
он хочет выкинуть ingress controller
MF
и получать внешний трафик сразу на istio gateway
GG
и получать внешний трафик сразу на istio gateway
логично, черт возьми
A
Вы оба правы. Документация по istio тут вообще никакая. Думаю надо каждую сущность без сайдкара описывать в serviceentry и тогда роутинг заработает... потом проверю
A
че-то поговорить охота... у istio такая же проблема что и у k8s в целом имхо
ну вот разобрались как ставить k8s на bare metal, поставили стабильную версию istio, разобрались с сервисами и настроили cpu/memory, сделали deployment workflow... а дальше что?
люди остались теми же самыми и не хотят парадигму сдвигать в головах, существующие сервисы не переписать и даже близко 12fa не соответствуют... все зря? у кого какой опыт? кто согласен-несогласен?
ну вот разобрались как ставить k8s на bare metal, поставили стабильную версию istio, разобрались с сервисами и настроили cpu/memory, сделали deployment workflow... а дальше что?
люди остались теми же самыми и не хотят парадигму сдвигать в головах, существующие сервисы не переписать и даже близко 12fa не соответствуют... все зря? у кого какой опыт? кто согласен-несогласен?
GG
че-то поговорить охота... у istio такая же проблема что и у k8s в целом имхо
ну вот разобрались как ставить k8s на bare metal, поставили стабильную версию istio, разобрались с сервисами и настроили cpu/memory, сделали deployment workflow... а дальше что?
люди остались теми же самыми и не хотят парадигму сдвигать в головах, существующие сервисы не переписать и даже близко 12fa не соответствуют... все зря? у кого какой опыт? кто согласен-несогласен?
ну вот разобрались как ставить k8s на bare metal, поставили стабильную версию istio, разобрались с сервисами и настроили cpu/memory, сделали deployment workflow... а дальше что?
люди остались теми же самыми и не хотят парадигму сдвигать в головах, существующие сервисы не переписать и даже близко 12fa не соответствуют... все зря? у кого какой опыт? кто согласен-несогласен?
и да, и нетт
GG
если у тебя есть человек, который ручками напильником сервисы подпилит… ну, тогда проблемы нет
GG
только это будет дорого, и это бас-фактор (а что если этот человек кря - кто будет дальше разбираться с проблемами истио?)
A
то есть востребован человек который и админ и программер (devops, простите за это слово 🙂 ), который не только среду поднимет но и перепишет инфраструктуру под нее?
GG
ну, если разрабы не готовы - то да
GG
лучше бы, конечно, было бы, если разрабы были готовы сами к этому
A
сервисмеш это вообще больше для разрабов, я бы им на откуп отдал - по сути он должен решать как раз проблемы которые решают библиотеки: обзервабилити, рейтлимиты и прочее... исторически это делается на уровне бизнескода
GG
и да, и нет
GG
ты говоришь, будто опсам вся эта исттория не помогает
GG
а это не так.