В связи с сетевыми проблемами у докера, которые не решаются годами, пытаюсь найти хоть какой-то обходной путь. host networking — не вариант, требуется, чтобы контейнеры были доступны только в локалке, откуда при необходимости их выпустит nginx, обернув в tls auth.
Пока сильно мешают две проблемы:
1) при использовании docker-proxy постоянные соединения к вненшим сервисам с точки зрения внутри контейнера и с точки зрения того сервиса могут быть в разном состоянии. Чаще всего — контейнер считает, что оно всё ещё открыто, а на самом деле — уже закрылось. Настройки keepalive тут не помогают, товарищ находил открытый баг 4-летней давности.
2) при запрещении docker-proxy с внешними сервисами всё хорошо, проблемы начинаются, когда контейнер хочет обратиться к публичному интерфейсу другого контейнера. И вот тут я тупо не пойму, в чём проблема, так как и маршрут есть и докеровские правила nat...
А вообще, такое ощущение, что есть следующее:
1) docker на одной машине — чисто для разработки, может быть для вывода сервиса на "отъебись"
2) docker swarm — недокластер, в котором так же есть многолетние сетевые баги, которые либо обходятся странными методами, либо не обходятся вообще, так как проявляются только под большой нагрузкой, для мелких инстансов на несколько узлов и мелкую нагрузку.
3) кубернетес — нечто, которое вообще-то не предназначено для мелких установок у себя, но как-то ставится.
Промежуточного между 2 и 3 — похоже, не существует и следующий шаг будет таки в сторону 3), но хз когда, тут даже тестовый кластер уже разобрали...
Пока сильно мешают две проблемы:
1) при использовании docker-proxy постоянные соединения к вненшим сервисам с точки зрения внутри контейнера и с точки зрения того сервиса могут быть в разном состоянии. Чаще всего — контейнер считает, что оно всё ещё открыто, а на самом деле — уже закрылось. Настройки keepalive тут не помогают, товарищ находил открытый баг 4-летней давности.
2) при запрещении docker-proxy с внешними сервисами всё хорошо, проблемы начинаются, когда контейнер хочет обратиться к публичному интерфейсу другого контейнера. И вот тут я тупо не пойму, в чём проблема, так как и маршрут есть и докеровские правила nat...
А вообще, такое ощущение, что есть следующее:
1) docker на одной машине — чисто для разработки, может быть для вывода сервиса на "отъебись"
2) docker swarm — недокластер, в котором так же есть многолетние сетевые баги, которые либо обходятся странными методами, либо не обходятся вообще, так как проявляются только под большой нагрузкой, для мелких инстансов на несколько узлов и мелкую нагрузку.
3) кубернетес — нечто, которое вообще-то не предназначено для мелких установок у себя, но как-то ставится.
Промежуточного между 2 и 3 — похоже, не существует и следующий шаг будет таки в сторону 3), но хз когда, тут даже тестовый кластер уже разобрали...
