В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

SPb Reliability Meetup

331 membersпожаловаться на группу
2019 August 11

GG

George Gaál in SPb Reliability Meetup
"без прибития гвоздями сетей и айпишников контейнеров, т.к. иначе в любой момент всё может сломаться"
поэтому Миша вещает про хост моуд - как правило - бридж лишний оверхед и лишний гемор
источник
20:58пожаловаться#1

⚓️Damir in SPb Reliability Meetup
George Gaál
"без прибития гвоздями сетей и айпишников контейнеров, т.к. иначе в любой момент всё может сломаться"
поэтому Миша вещает про хост моуд - как правило - бридж лишний оверхед и лишний гемор
тут может оказаться, что никто не ожидал, что это так будет использоваться, композы написаны по докер сети. И вообще порт 8080 уже занял другой контейнер, которому это не особо-то и нужно было, и теперь нужно думать, как всё это вместе разместить.
Как и с iptables все решаемо, но приятного мало
источник
21:06пожаловаться#2

p

pragus in SPb Reliability Meetup
⚓️Damir
Я пока не понимаю почему это поможет избежать сложность от того, что докер при рестарте переписывает все свои правила, но возможно это просто потому что у меня iptables нормального не было(1.8)
а в чем проблема, что он переписывает все _свои_ правила?

и второй вопрос - а зачем вот так? почему не macvlan/ipvlan?
источник
21:08пожаловаться#3

Е

Егор in SPb Reliability Meetup
у меня в петпроекте и докер и впн на одной тачке - проблем 0
источник
21:11пожаловаться#4

PR

Paul Rudnitskiy in SPb Reliability Meetup
George Gaál
Мне кажется, что проще отобрать у докера управление айпитейблзом. Все равно, если контейнеры надо ансиблем деплоить, то тебе легко в него же (ансибл) накрутить настройки файрволла
Вот именно. Докер вытворяет с nftables какой-то ад, который ни отладить ни сопроводить невозможно. Я лучше сам настрою
источник
21:11пожаловаться#5

Е

Егор in SPb Reliability Meetup
фильтры таблиц он дополнял и все ок было
источник
21:12пожаловаться#6

Е

Егор in SPb Reliability Meetup
ничего сам не перетирает он
источник
21:12пожаловаться#7

Е

Егор in SPb Reliability Meetup
George Gaál
попробуйте сбросить правила айпитейблз, докер без перезапуска их не восстановит
а, я кажется понял кейс
источник
21:13пожаловаться#8

p

pragus in SPb Reliability Meetup
George Gaál
попробуйте сбросить правила айпитейблз, докер без перезапуска их не восстановит
а зачем так делать?
источник
21:14пожаловаться#9

GG

George Gaál in SPb Reliability Meetup
pragus
а зачем так делать?
Это штатное поведение для многих вещей, которые не ожидают, что что-то ещё управляет правилами файрволла
источник
21:15пожаловаться#10

GG

George Gaál in SPb Reliability Meetup
Есть решение - перезапуск докера с сохранением контейнеров, но это дополнительная магия, которая может не вовремя сломаться
источник
21:15пожаловаться#11

GG

George Gaál in SPb Reliability Meetup
Paul Rudnitskiy
Вот именно. Докер вытворяет с nftables какой-то ад, который ни отладить ни сопроводить невозможно. Я лучше сам настрою
Ок, принято
источник
21:15пожаловаться#12

GG

George Gaál in SPb Reliability Meetup
⚓️Damir
тут может оказаться, что никто не ожидал, что это так будет использоваться, композы написаны по докер сети. И вообще порт 8080 уже занял другой контейнер, которому это не особо-то и нужно было, и теперь нужно думать, как всё это вместе разместить.
Как и с iptables все решаемо, но приятного мало
Бриджовые сети дно. Тебе контейнеры ведь нужны, чтобы быть доступными снаружи узла, или как? Бридж оправдан на машине разраба и в тестовых средах. В стейджк и проде от них вреда больше, чем толку
источник
21:16пожаловаться#13

GG

George Gaál in SPb Reliability Meetup
Здесь я с @SinTeZoiD согласен на 💯%
источник
21:17пожаловаться#14

PR

Paul Rudnitskiy in SPb Reliability Meetup
George Gaál
Ок, принято
Ну слушай, если у тебя маленькая инфраструктура - тебе проще сделать самому. Если она большая - правила будет крутить оркестратор, CNI. Ну или вообще это будет свой сетевой стек в обход ядра (cillium)
источник
21:17пожаловаться#15

GG

George Gaál in SPb Reliability Meetup
Paul Rudnitskiy
Ну слушай, если у тебя маленькая инфраструктура - тебе проще сделать самому. Если она большая - правила будет крутить оркестратор, CNI. Ну или вообще это будет свой сетевой стек в обход ядра (cillium)
Варик, ога
источник
21:17пожаловаться#16

GG

George Gaál in SPb Reliability Meetup
Но надо разделять докер стенделоун + ансибл/ сольт/ шеф/ паппет any else vs kube/nomad/mesos
источник
21:18пожаловаться#17

PR

Paul Rudnitskiy in SPb Reliability Meetup
George Gaál
Бриджовые сети дно. Тебе контейнеры ведь нужны, чтобы быть доступными снаружи узла, или как? Бридж оправдан на машине разраба и в тестовых средах. В стейджк и проде от них вреда больше, чем толку
Нельзя в прод пускать бридж! Должна быть точка входа, через которую трафик будет проходить. По сути это параллельный сетевой стек - OpenNetwork или тот же cillium
источник
21:18пожаловаться#18

PR

Paul Rudnitskiy in SPb Reliability Meetup
И да, я буду рад услышать критику :)
источник
21:18пожаловаться#19

GG

George Gaál in SPb Reliability Meetup
Paul Rudnitskiy
Нельзя в прод пускать бридж! Должна быть точка входа, через которую трафик будет проходить. По сути это параллельный сетевой стек - OpenNetwork или тот же cillium
Но народ же так делает !!!!!! 😂😳
источник
21:19пожаловаться#20