A
ага
Size: a a a
2019 September 03
MK
скажи что тебе действительно нужно.
MK
оставь подсети.
A
у меня есть GKE-кластер в котором ведется активная разразработка, иногда туда нужно получить доступ
я знаком со всеми вещами типа kubectl exec -it ... sh, kubectl port-forward, telepresence и тп
однако иногда возникают задачи связаные с глобальным взаимодействием (например дернуть под в кластере и одновременно изнутри постучаться на GCE машину, запустить терраформ который должен подключиться к сервисам кластера)
до текущего момента у меня был запущен helm-чарт openvpn с service=loadbalancer, этого хватало
однако это плохая практика - держать сервис для доступа к ресурсу внутри ресурса, проблема возникает когда например надо терраформом обновить кластер и тут же положить в консул внутри терраформа вэлью (доступ естественно через впн а он начинает падать потому то кластер обновляется)
таким образом, хочу либо вынести openvpn на отдельную GCE машину (провижинить не хочется отдельно добавляя еще ansible в тулбелт), или для того же самого использовать сервис который гугль предлагает (тогда хватит одного терраформа)
я знаком со всеми вещами типа kubectl exec -it ... sh, kubectl port-forward, telepresence и тп
однако иногда возникают задачи связаные с глобальным взаимодействием (например дернуть под в кластере и одновременно изнутри постучаться на GCE машину, запустить терраформ который должен подключиться к сервисам кластера)
до текущего момента у меня был запущен helm-чарт openvpn с service=loadbalancer, этого хватало
однако это плохая практика - держать сервис для доступа к ресурсу внутри ресурса, проблема возникает когда например надо терраформом обновить кластер и тут же положить в консул внутри терраформа вэлью (доступ естественно через впн а он начинает падать потому то кластер обновляется)
таким образом, хочу либо вынести openvpn на отдельную GCE машину (провижинить не хочется отдельно добавляя еще ansible в тулбелт), или для того же самого использовать сервис который гугль предлагает (тогда хватит одного терраформа)
A
надеюсь понятно описал, уточняй если вопросы будут, спс
TK
Решил такую же проблему, но колхозно. Поднял GCE вируталку с openvpn. Запретил доступ к внутренней сети ко всему через файервол. Если что-то нужно, временно открываю доступ и через VPN хожу.
VPN от гугла не предназначен для работы с клиентскими машинами. По крайней мере так было года полтора назад.
VPN от гугла не предназначен для работы с клиентскими машинами. По крайней мере так было года полтора назад.
A
ага спасибо, примерно это и хотел узнать - ковырять в эту сторону или сразу на openvpn решение делать
MK
у меня есть GKE-кластер в котором ведется активная разразработка, иногда туда нужно получить доступ
я знаком со всеми вещами типа kubectl exec -it ... sh, kubectl port-forward, telepresence и тп
однако иногда возникают задачи связаные с глобальным взаимодействием (например дернуть под в кластере и одновременно изнутри постучаться на GCE машину, запустить терраформ который должен подключиться к сервисам кластера)
до текущего момента у меня был запущен helm-чарт openvpn с service=loadbalancer, этого хватало
однако это плохая практика - держать сервис для доступа к ресурсу внутри ресурса, проблема возникает когда например надо терраформом обновить кластер и тут же положить в консул внутри терраформа вэлью (доступ естественно через впн а он начинает падать потому то кластер обновляется)
таким образом, хочу либо вынести openvpn на отдельную GCE машину (провижинить не хочется отдельно добавляя еще ansible в тулбелт), или для того же самого использовать сервис который гугль предлагает (тогда хватит одного терраформа)
я знаком со всеми вещами типа kubectl exec -it ... sh, kubectl port-forward, telepresence и тп
однако иногда возникают задачи связаные с глобальным взаимодействием (например дернуть под в кластере и одновременно изнутри постучаться на GCE машину, запустить терраформ который должен подключиться к сервисам кластера)
до текущего момента у меня был запущен helm-чарт openvpn с service=loadbalancer, этого хватало
однако это плохая практика - держать сервис для доступа к ресурсу внутри ресурса, проблема возникает когда например надо терраформом обновить кластер и тут же положить в консул внутри терраформа вэлью (доступ естественно через впн а он начинает падать потому то кластер обновляется)
таким образом, хочу либо вынести openvpn на отдельную GCE машину (провижинить не хочется отдельно добавляя еще ansible в тулбелт), или для того же самого использовать сервис который гугль предлагает (тогда хватит одного терраформа)
мне кажется, что легче и менее велосипедно будет иметь готовый шаблон на личный jumphost.
и тогда опенвпн не нужен.
т.е.:
1. через
2. через
3. для перситентности можно пользоваться спец. блок-устройством, который будет хранить данные
и тогда опенвпн не нужен.
т.е.:
1. через
gcloud поднимается легкая виртуалка в нужных сегментах2. через
gcloud ssh ты к ней подключаешься и работаешь3. для перситентности можно пользоваться спец. блок-устройством, который будет хранить данные
MK
все это - скриптёнок в 3 команды.
MK
и vpn не нужен.
A
это не решает проблемы "разработчик хочет дебажить с локальной машины микросервис чтобы он подключался к сервисам стажинга" без проброса кучи портов
MK
это не решает проблемы "разработчик хочет дебажить с локальной машины микросервис чтобы он подключался к сервисам стажинга" без проброса кучи портов
почему нет?
A
я наверное чего-то не догоняю
MK
никто не мешает тебе сделать в скрипте выбор и среды и шаблона.
MK
ессно, если разрабов - сотни, стоимость тачек + разработки будет дороже постоянно бегущего vpn.
MK
но если частота таких ситуаций - раз в день или реже, то:
- дешево
- сердито
- безопасно
- дешево
- сердито
- безопасно
MK
я наверное чего-то не догоняю
спрашивай.
MK
gcloud знаешь?
MK
он же не только ценный мех (работа по управлению ресурсами), но и 3-4 кг диетического, легко-усваимого мяса (позволяет делать туннелирование во внутренние подсети)
MK
читай:
gcloud compute ssh --help