← All posts tagged работа

Запинал nginx-ingress в кубернетесе до уровня "заработало ограничение по ip".
Теперь размышляю над задачкой: дать доступ для подрядчиков-сеошников к новому сайту по http+basic auth, дать доступ для сотрудников по https+cert auth и не смешивать эти доступы между собой (в частности, точно не надо basic auth по https).
Был бы там голый nginx — давно бы сделал. Но там nginx — только движок, а конфигурация осуществляется через ingress-controller, так что чесать мне репу ещё долго.

Постепенно перетаскиваем часть почтовых серверов на iscsi-хранилище (оно же — сервер на Debian/Stretch о 12 дисках в raid6).
Как ни странно, несмотря на всю нагрузку, уже перетащенные работают лучше, чем на локальных дисках.

*лытдыбр *работаИзвращаюсь с kubernetes на предмет замены им docker swarm.
Всё бы неплохо, но есть пока два но:
1) днс внутри контейнеров указывает куда-то в<далеко> и оттуда отвечать некому. Там, где отвечать есть кому — туда никто не ходит.
2) хз, как правильно сделать так, чтоб на паре нод запустился nginx с нужным конфигом и проксировал нужные хостнеймы куда надо. Нужный конфиг тут — мой, так как требуется https-авторизация + в одном хостнейме http-basic auth. Ну то есть, я разобрался, как всё это запилить без конфигов в подключаемых файлах (configMap в помощь, если что), но эта сволочь вместо 80 и 443-го портов выдаёт мне каждый раз разное в диапазоне 30000-32767.

Решили, что docker swarm полное г. и надо взять kubernetes. Кому-то стукнула в голову идея заодно взять openstack и рулить через него.
Почитал сегодня доки, сделал список того, что требуется поставить только для тестового кластера (сейчас это два узла докера в не самых крупных виртуалках) — таки решили, что ну его на, этот опенстек, раз уж виртуалки не через него юзаем.

dockerd на части нод в docker swarm сожрал полтора гига памяти из 4-х и не желает отдавать.
Всё бы неплохо, если бы не то, что часть контейнеров не подлежит выключению...
Подозреваю, что некоторые вещи, которые в них засунули, контейнеризации не подлежат. Тот же биллинг, например.

Обсудив ситуацию, решили отказаться от glusterfs как хранилища постоянных томов докера — в версии 3.12 есть проблемы с метаданными, в версии 4+ из stretch-backports — постоянные stale locks, что ещё хуже.

Турки заманали регистрироваться с промокодами и пытаться гнать свой спам с вдс.
Цитата из рабочего чата:
"""
Давайте на регистрации если это иностранный ip будем дополнительно показывать капчу, но с русскими словами на ней. С буквами типа ё, я и тп
"""

А кластерная галера — вещь! Упавшая нода поднялась из старого бекапа и шустренько подтянула все нужные данные без каких либо дополнительных пинков — просто предоставили доступ к тем нодам, что ещё работали.