Advertorial

Door Tweakers Partners

True maakt Kubernetes toegankelijk voor iedereen

13-01-2022 • 08:00

37 Linkedin

Schrijf je in voor de True Kubernetes workshop!

Heb je een achtergrond als developer of sysadmin, werk je misschien al met containers en wil je je verdiepen in Kubernetes?

Schrijf je dan in voor een van de gratis Kubernetes-workshops op het True-kantoor of digitaal (afhankelijk van de coronamaatregelen). Check het aanbod hier.

Tweakers.net wordt al bijna 21 jaar gehost door True. Sinds jaar en dag is het een bekende partij in de wereld van serverhosting, maar het bedrijf is ook zeer bedreven in de wereld van Kubernetes (K8s). Een "geweldig platform", aldus Solutions Architect Martijn van Calker. In 2015 kwam hij voor het eerst in aanraking met containers, om precies te zijn met Docker. "Sindsdien zijn containers de rode draad in mijn carrière. Ik ben ooit begonnen als developer en ben me steeds meer gaan interesseren in alles rondom devops. Van daaruit was het een kleine stap naar containers. Heel veel organisaties zijn ermee bezig, merk ik. Of het nu een dedicated Kubernetes-omgeving in de public cloud of lokaal is, het maakt niet uit. Waar je nu ook aan tafel zit, het gesprek gaat vaak over Kubernetes."

Sinds april werkt Martijn voor True, dat in 2018 de eerste bètaversie lanceerde van zijn eigen Kubernetes-platform. Wat maakt het orchestration-platform zo speciaal? "Een paar jaar geleden was het zeker nog niet perfect en het is continu in ontwikkeling, maar toen ik het leerde kennen, dacht ik al wel: dit is alles wat Docker nog niet is. Orchestration- en configuratietools als Docker Swarm en Docker Compose werkten al wel, maar waren niet goed schaalbaar. Kubernetes was dat wel, en het was ook goed uit te breiden in functionaliteit, bijvoorbeeld voor het uitbreiden van netwerken, service-meshes en het automatiseren van onderhoud. Met een enorme community erachter gaan de ontwikkelingen snel en de mogelijkheden nemen toe. Daar zit ook een uitdaging, omdat het kennis- en toepassingsgebied voor Kubernetes enorm breed is."

Veel vrijheid met managed Kubernetes

Martijns collega Marijn de Vlieger is manager Solutions bij True. "Ik kwam hier drie jaar geleden binnen, er was toen net een bèta gedraaid van onze Kubernetes-dienst. Mijn achtergrond ligt in operations en ik loop al jaren rond in de managed hosting-branche. Het aan elkaar 'knopen' van verschillende soorten hard- en software heb ik altijd al mooi gevonden. Bij True ben ik als Solution Architect verantwoordelijk geweest voor het ontwerpen van allerlei hosting-platformen, voordat ik begin 2021 de overstap maakte naar een rol als manager van de afdeling Solutions, waar ook Kubernetes onder valt." Dat je met behulp van True gemakkelijk en veilig Kubernetes kan draaien in productie, weten veel van de klanten wel, zegt Marijn. "We beheren een eigen containercluster waar we een aantal producten omheen hebben gebouwd om tot een managed Kubernetes-cluster te komen. Gebruikers hebben daarop de vrijheid om hun eigen containers te deployen en uit te rollen op ons platform."

"Zijn containers altijd de oplossing? "Zijn containers altijd de oplossing? Hoe 'ouderwets' zijn VM's nu geworden? "Nou, die zijn nog wel relevant hoor, evenals hardware", zegt Martijn. "Je hebt hier twee lagen van diepte. Kubernetes draait uiteindelijk ook op een server die ergens in een rack hangt en die als virtualisatiehost is ingericht. Daar draaien dan weer containers op die je vervolgens in een cluster hangt. Er zijn zeker workloads die op een VM veel beter werken; ik schat dat zo'n tachtig procent van die workloads best naar Kubernetes kunnen." Marijn voegt eraan toe: "Met als kanttekening dat jouw applicatie hier wel geschikt voor gemaakt moet worden. Wat ik persoonlijk prettig vind, is het abstractieniveau van Kubernetes. Je nieuwe feature of applicatie-update is zo uitgerold en getest. Je hoeft niet meer uren of dagen te wachten op traditionele systemen en werkwijzen. Wanneer je applicatie geschikt is voor zo’n omgeving, heb je meer flexibiliteit en grip op de lifecycle van je applicatie."

Begin met het stellen van vragen

True gaat met klanten altijd eerst het gesprek aan voordat de stap naar Kubernetes wordt gezet, vertelt Marijn. "Is er bijvoorbeeld wel een valide use case voor het gebruik van een containerplatform? Als je bijvoorbeeld heel erg afhankelijk bent van local storage, kan in sommige gevallen een host in een VM of zelfs een dedicated server beter geschikt zijn. Daar doen we altijd een assessment op. Daarna volgt een traject dat afhankelijk is van de kennis bij onze klant en de partijen waarmee we gaan samenwerken, om te kijken hoe we onze kennis gaan bundelen en inzetten." Zorgvuldigheid is belangrijk, zegt ook Martijn."Het lijkt simpel, maar er kan zoveel misgaan als je naar productie wil. " "Bijna iedereen die aan webdevelopment doet, heeft weleens een containertje gebouwd. Het lijkt simpel, maar er kan zoveel misgaan als je naar productie wil. Je kunt het voor jezelf veel te complex maken. Hoe kom je bijvoorbeeld bij je container als hij in de public cloud draait? Hoe ga je debuggen? Waar staan je logs? En hoe ga je de security inrichten? Allemaal zaken waar je eerst naar moet kijken."

Martijn: "Begin je met Kubernetes, dan heb je eigenlijk tien jaar aan best practices door te voeren. Je moet er wel een CI/CD-pipeline op inrichten. Hoewel je development-proces er een stuk beter van wordt, kun je daar niet zomaar van afwijken. Even inloggen op een server en een bestandje aanpassen, gaat niet meer, omdat je container dan misschien niet meer bestaat op de plek waar je hebt gewerkt en je wijzigingen alweer ongedaan zijn." Het is vooral belangrijk dat je goede redenen hebt om aan de slag te gaan met containers. Marijn: "Als je doel is om het developmentproces gemakkelijker te maken en daar meer snelheid in te hebben, dan kom je er vanuit de goede hoek in. Maar doe je het omdat bijvoorbeeld Zalando of Apple met containers bezig is en jij dit daarom ook wil, dan kom je er verkeerd in."

Cloud-native landschap verandert voortdurend

Is Kubernetes dan iets waar je helemaal zelf mee aan de slag kunt gaan? Marijn: “We krijgen regelmatig de vraag of we ook een kale Kubernetes-versie kunnen leveren, of een singlehost-versie ervan. We zien echter dat je met een kale Kubernetes-versie nog niet zo heel veel kunt, waardoor je veel zelf in moet richten. Denk bijvoorbeeld aan je netwerk (ingress) of storage. De leercurve is steil, zeker als je Kubernetes nog moet leren, om daar de benodigde services op te configureren." Wie het cloud-native landschap volgt, weet dat dit geen overbodige luxe is. De beschikbaarheid van tooling is enorm en verandert voortdurend; ga daar maar eens een keuze in maken. "Daarom hebben wij al een keuze gemaakt waarvan we overtuigd zijn dat het een goede manier is om met Kubernetes aan de slag te gaan."

True, sinds 16 december ook een Kubernetes Certified Service Provider (KCSP), kiest zoveel mogelijk voorstabiele projecten die gesteund worden door de community die sterk genoeg is om issues snel te verhelpen. Maar ook performance is een belangrijke overweging, vertelt Martijn: "We hebben gekozen voor Linkerd omdat het relatief licht is. Een service-mesh kan zwaar zijn voor je cluster en je wil niet dat een kwart van je resources daar naartoe gaat." Overigens zit een gebruiker absoluut niet vast aan bovenstaande keuzes. Marijn: "Wij schrijven niet voor dat je deze tools moet gebruiken. Heb je bijvoorbeeld liever Flux in plaats van ArgoCD, dan is dat prima."

De gekozen services om Kubernetes heen zorgen ervoor dat je direct aan de slag kunt met het platform. Martijn: “Zo hoef je zelf niet meer alle services uit het CNCF-landschap met elkaar te vergelijken en in te richten. Daarmee heb je zomaar weer honderd uur bespaard, die je aan ontwikkelen kunt besteden. Zeker voor beginnende ontwikkelaars op Kubernetes bespaart dat veel tijd.”

Gebrek aan tijd is ook een uitdaging

Wie Kubernetes nog steeds een overmatig complex gedrocht vindt, krijgt van Marijn en Martijn deels gelijk. "Er zijn 19 manieren om een container te draaien bij AWS, om maar een voorbeeld te noemen", zegt Marijn (voor een bijpassende meme, klik hier). "En er komen er steeds meer bij. En dan heb je het nog maar over één public cloud. Maar er zijn ook relatief eenvoudigere oplossingen, en hoe complexer je omgeving al is, hoe meer de inzet van Kubernetes je gaat helpen."

Om dit in de praktijk te laten zien, organiseert True gratis Kubernetes-workshops op zijn hoofdkantoor in Amsterdam. Geen overbodige luxe, zo vindt Martijn: "Ik ken veel developers die geïnteresseerd zijn in Kubernetes, maar nauwelijks de tijd hebben of krijgen om uit te zoeken wat het doet. Juist voor hen is een workshop heel nuttig om stappen te kunnen maken." Marijn: "Vooral als het gaat om storage en netwerk kan Kubernetes best ingewikkeld zijn om het beheer goed in te richten. Maar als het lukt, is dat ontzettend tof. “

De voordelen die je met Kubernetes kunt behalen, zijn flink, maar je blijft een team nodig hebben dat het platform onderhoudt. De Kubernetes-specialisten van True hebben al meer dan twintig organisaties - onder andere Testenvoortoegang en Prijsvrij Vakanties - geholpen met de migratie naar containers en Kubernetes. Marijn: “Ik zou zeggen, daag onze Solutions Architects uit met jouw Kubernetes Challenge!”

Heb je een achtergrond als developer of sysadmin, werk je misschien al met containers en wil je je verdiepen in Kubernetes? Schrijf je dan in voor een van de gratis Kubernetes-workshops op het True-kantoor of digitaal (afhankelijk van de coronamaatregelen). Check het aanbod hier.

Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij True en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Reacties (37)

Wijzig sortering
Als je eenmaal in aanraking komt met de Ingress objecten voor de routing rules en Cert-manager die veel voor je uit handen neemt qua cert management, raak je écht overtuigd van de kracht van het K8s platform :). Privé al veel workloads draaien op een single worker node; en door m'n interesse ook een CKAD certificering behaald. Zakelijk (werkzaam als IT-analist binnen een verzekeraar) probeer ik de technologie wat onder de aandacht te brengen. Learning curve is idd stijl, maar met hands-on demos kun je een slag slaan in het enthousiasmeren van collegas. K8s is ook mijns inziens de toekomst, de vrijheid van een cloud-agnostisch containerplatform geeft een niet te onderschatten flexibiliteit.
Traefik doet dat al out-of-the-box door middel van providers zoals LetsEncrypt e.d.
Daar heb je iig geen aparte manager oid voor nodig.
Traefik is tevens gemaakt in GO, dus super snel en threaded :)
Eens. Cert manager voor SSL? Ik probeer een beetje grip te krijgen op K8s en Ingress.

Wel mooi dat je zelf de techniek aan ontdekken bent ipv dat je in een team zit waar iedereen al doorgewinterd is. Heeft ook wel voordelen, maar dit is ook leuk.
Je kunt idd je cluster automagisch je certs aan laten maken voor specifieke ingress entries. Cert Manager docs geven hier bijv de installatie stappen aan. Als je eenmaal cert manager hebt geinstalleerd op je cluster hoef je voor elke ingress waar je een let's encrypt op wil alleen nog stap 7 te doen (metadata annotations en spec tls toevoegen aan je ingress). Er wordt dan automatisch de juiste stappen gedaan voor de known secret validatie en opslaan en linken van je certs.
Je hebt wel een domein provider nodig met een werkende api hiervoor of niet. Of doe je dit alles via AWS bv.?
Voor DNS validation wel, HTTP validation kan ook zonder werken
Natuurlijk, niet aan gedacht, met een key. Maar ondersteunt Letsencrypt dit dan wel met bv. wildcards?
HTTP challenges werken idd niet met Wildcards. Ik heb daar zelf geen ervaring mee. Dus weet zo even niet wat daar de beste flow voor is.
Wildcards worden security technisch altijd afgeraden en zijn ook helemaal niet nodig met een goede setup. Ik gebruik zelf treafik en bij het aanmaken van een container wordt direct de host naam geregistreerd waarna een certificaat op de FQDN aangevraagd en geconfigureerd wordt. Omdat dit allemaal binnen treafik gebeurt heeft de container hier verder geen weet van (en geen verdere configuratie nodig).
Door wie worden wildcards afgeraden en waarom precies?
Door iedereen, het is een vrij basis beveiliging principe. Een normaal certificaat kan enkel voor 1 hostnaam gebruikt worden. Als dit lekt of verloopt dan hoeft er ook maar 1 certificaat vervangen te worden. Je 'attack vector' is simpelweg kleiner.

Wildcards worden overal gebruikt (waarom anders een wildcard). Dat betekend dat als het certificaat gestolen of gelekt is, je gehele domein direct kwetsbaar is. Als voorbeeld, ik kan zo een zelfverzonnen host opzetten en je gebruikers om de tuin leiden zonder dat jij het in de gaten hebt. Bij een enkel host certificaat zal ik perse die hostnaam moeten gebruiken om wat veel complexer is.

Ik maak het veel mee binnen grotere organisaties. Als het wildcard certificaat vervangen moet worden dan is het weer paniek omdat niemand weet waar ze overal gebruikt zijn. Het gebeurd regelmatig dat dingen omvallen omdat ze een machine 'vergeten' zijn..

Anyway, zie ook gewoon Google:
https://www.google.com/search?q=wildcard+certificate+risks
Ik snap het, maar zoals je het weergeeft is het meer een documentatie/administratie probleem, dan een intrinsiek probleem met dit type certificaat zelf. Niettemin zelf ook vaak genoeg tegengekomen tijdens werk.

[Reactie gewijzigd door NimRod1337 op 14 januari 2022 11:15]

Persoonlijk zie het overal eerder als een luiheid probleem, haha. :P
Men kiest gemak boven veiligheid.

Maar het is uiteraard begrijpelijk dat die keuze gemaakt wordt en het beveiligingsprobleem is niet enorm groot. Zolang er maar geen (menselijke) fouten worden gemaakt zoals de sleutel exporteerbaar importeren op een publieke server.

Maar besef je ook dat certificaten een verandering doorgaan. Men wil af van die lange geldigheidsduur (ze zijn nu nog maar een jaar geldig). LE certificaten zijn maar 3 maanden geldig. Dit forceert mensen om hun certificaat beheer te automatiseren en als je het automatiseert, waarom dan wildcards gebruiken? Dan moet je echt een specifieke usecase hebben. Dat zie je ook weer terug bij LetsEncrypt, die raden een aan om normale certificaten te houden:

Wildcard certificates can make certificate management easier in some cases, and we want to address those cases in order to help get the Web to 100% HTTPS. We still recommend non-wildcard certificates for most use cases.
https://community.letsenc...ate-support-is-live/55579

Daarnaast vereisen ze extra controle door middel van een DNS-01 challenge type. Dat was voldoende voor mij om wildcards af te zweren. TLS-ALPN-01 is zo veel eenvoudiger dat ik echt niet meer anders wil.
https://letsencrypt.org/docs/challenge-types/
Ja ik snap dat wel. Alleen heb ik zelf vaak te maken met test subdomeintjes, en dan is een wildcard gewoon erg handig. Wat jij beschrijft gebeurt vaak als DNS en SSL bij 2 verschillende afdelingen ligt, wil je voor mij een DNS A record aanmaken en ook een een TXT record met dit en dit, want we hebben een certificaat nodig. Gaat vaak stroef. Je DNS zonefile alleen al geeft op zich al overzicht, maar ja als je daar niet in mag kijken.
Zeker, dat ‘eilandjes’ gedrag tussen afdelingen is vaak de oorzaak. En dat zal altijd als eerste opgelost moeten worden.
Maar dan nog is het heel erg fijn als deze zaken geautomatiseerd geregeld worden en helemaal als de configuratie bij de app gebeurt (waar het hoort naar mijn mening). Maar dat is natuurlijk enkel mijn ervaring en iedereen is vrij in zijn keuze ;)
Klopt zeker. Nice talking en goed weekend!
Inderdaad, altijd interessant om een ander perspectief te zien.

Fijn weekend!
Kanttekening: Ci/Cd is niet echt nodig, Je kan ook prima lokaal een container bouwen en die in de repo uploaden. je hebt dan nog steeds voordelen, zoals automatisch schalen etc, terwijl je niet ook nog eens je hele proces moet omgooien. En afhankelijk van de applicatie hoeft deze ook niet altijd aangepast te worden.

Wat ik me afvraag, in Microsoft Azure heb je iets als een vault om je secrets (passwords voor database etc) in op te slaan, Dat werkt het beste met een directe api. Je kan de vault wel de waarden in de container laten injecten met wat truuken, maar dat is toch wel lastig. Wat voor oplossing heeft True daar voor?
Je kan inderdaad prima lokaal bouwen en pushen naar een repo. Het fijne door het via CI in te regelen is dat je de tag gelijk door kan zetten naar of je GitOps repo, of een geautomatiseerde api call naar je platform. Dat scheelt een handmatige actie.
Vanuit compliance zien we steeds meer eisen gesteld worden over geautomatiseerde omgevingen, het testen van je code, maar dus ook je container en integratie. Dit in CI inregelen is naar onze ervaring een stuk makkelijk om aan zulke vraagstukken te voldoen. Denk eveneens aan het scannen op vulnerabilities; het is prettig als dat geautomatiseerd kan (denk aan het recente Log4J verhaal).

M.b.t. secrets: de native manier van Kubernetes is inderdaad discutabel. We hebben er in ons standaard platform voor gekozen om dit met Vault te doen (is makkelijker icm ons eigen DC), maar er zijn genoeg klanten die inderdaad ook Azure Key Vault gebruiken omdat dit beter integreert met hun Azure landschap.
Misschien wel een interessant vraagstuk. We hebben een klant die van ons een Java applicatie afneemt. Dit is een War die onder Tomcat draait. Nu wil die klant zijn eigen private Azure Kubernetes cluster gaan draaien. Wij kunnen dus niet CI / CD gaan gebruiken, want anders pushen we zomaar een nieuwe versie naar ze toe zonder dat zij die kunnen testen.

Wat zouden we nu het beste kunnen doen? De War uitleveren, succes ermee. Hier heb je scriptjes om een Tomcat container te maken? Of op de 1 of andere manier toch een container uitleveren? Moeten wij ergens een registry opzetten ofzo waar ze uit kunnen downloaden?

Affijn, als je alles zelf in beheer hebt is het niet zo lastig, maar als er ineens een klant tussen zit wordt het een stuk ingewikkelder, zeker met CI/CD. Probleem met de klant is dat ze zelf eigenlijk geen idee hebben en maar dingen roepen als 'best practises' enz. Vraag je bijvoorbeeld hoe ze logging willen regelen dan komen ze met een screen scraper als oplossing.
Joo

Als je de WAR overdraagt, zal jouw klant zelf redelijk wat stappen moeten nemen om tot een deployment te komen.
Je zou er voor kunnen kiezen om zelf de container te bouwen en de deployment te verpakken in een zogeheten Helm chart. Je kunt de CI/CD zo inrichten dat je images bouwt op basis van nieuwe releases of tags om te voorkomen dat je bestaande images overschrijft.

De helm chart kun je publiceren in een repo, welke vervolgens gebruikt kan worden door jouw klant.
Deze helm chart stelt jouw klant in staat om nieuwe versies van de applicatie te testen, of bestaande installaties te upgraden naar nieuwe versies.

Mocht je het fijn vinden dan zouden we ook in een call hierover kort kunnen meedenken.

Michiel(werkzaam bij True)
Je kan het zo gek maken als je zelf wil natuurlijk, dat is nou het mooie van Kubernetes!
Ik kan niet spreken voor True, maar daar is de CSI Driver voor geschreven:
https://docs.microsoft.co.../csi-secrets-store-driver
Ik heb voor True vroeger gewerkt.
Voor simpele docker swarm omgeving, is Portainer veel makkelijker in gebruik, in combinatie met Traefik.
Host hier al tig wat sites mee, waaronder voor een paar bedrijven.

[Reactie gewijzigd door Power2All op 13 januari 2022 08:03]

Heeft docker swarm inmiddels ook al self healing/autoscaling? Voor dit soort opties zit je wel aan kubernetes volgensmij.
Self healing jazeker, auto-scaling nog niet, maar daar heb ik een eigen script voor.
Ik gebruik daarvoor de "update" functie, aangezien ik vaak nog wel eens nieuwe builds maak van images:
#!/bin/bash

SERVICES=`docker service ls -q`

while IFS= read -r line
do
echo "### UPDATING SERVICE ${line} ###"
docker service update --force ${line}
done < <(printf '%s\n' "${SERVICES}")
Deze kun je op een manager draaien, op workers werkt dit niet ;)
--force kun je weghalen, als je alleen een update actie wilt doorvoeren, dan scaled hij het, naja, balanceerd hij de services over alle workers en managers, ligt aan de "constraints".

Ik draai Docker Swarm al sinds ik bij Basefarm gewerkt had.
Is ook een grote hosting partij in Europa (Noors), en ze waren toen net bezig met implementatie van Docker voor wat Nederlandse bedrijven.
Nu kan ik niet meer zonder, helaas heeft Docker een deuk gehad vanwege exploits om uit containers te stappen gehad, vooral bij het bedrijf waar ik nu voor werk, maar dat is al reeds een tijd geleden opgelost.
Docker is super voor development, vooral omdat je kan developen op basis van een vaste versie en image lokaal en op server nivo.

[Reactie gewijzigd door Power2All op 13 januari 2022 11:43]

Voor iedereen die met bovenstaande stack aan de slag wil: https://dockerswarm.rocks/

Ik geniet volop van deze combinatie en ben er erg tevreden mee!
Ik denk: gaaf: een nederlands bedrijf dat een k8s training gaat geven. Erg benieuwd naar. Al vaak naar zitten kijken k8s, maar nog nooit de tijd durven pakken om daar mee bezig te gaan.

Dus ik wil me registreren, en ik krijg van True letterlijk terug in de JSON:
"status": "spam",
"message": "Het verzenden van uw bericht is mislukt. Probeer het a.u.b. later nog eens, of neem op een andere wijze contact met ons op."

Dus True: mag ik niet mee doen?
Hi @jvwou123

Uiteraard willen we heel graag dat je mee komt doen. Zojuist hebben we je een PB gestuurd.

Groet,

Axel van True

[Reactie gewijzigd door Axel van True op 13 januari 2022 09:09]

Er gaan hier wel een paar dingen langs elkaar heen denk ik.

Volgens mij worden developers en sysadmins getarget, dus ik zou verwachten dat je even kon kijken hoe de k8s er dan uit ziet en ook qua kosten. Staat er helemaal niets over op de k8s pagina. Ik kan sneller een cluster optuigen met een nieuw account bij Linode of Digital Ocean met 100$ aan credits, dan dat ik een offerteaanvraag opgestuurd heb.
HI F.e.everts,

Het verschil dat wij maken is de partnering die wij opzoeken met klanten, dus een unmanaged cluster zoals bij Linode en Digital Ocean is een totaal ander platform en doelgroep. We delen dus actief onze kennis en best practises, waardoor je bij twijfel gewoon even een chatje kan sturen inplaats van overgelaten bent aan het grote internet. Vanuit die hoedanigheid is het cluster wat we opleveren ook altijd op maat aan de hand van de geïnventariseerde workload en aanvullende eisen. Die persoonlijke dienstverlening begint vanaf het eerste gesprek, we doen een kennisinventarisatie en workshops waar nodig om uiteindelijk samen succesvol op dat platform te zijn. Wanneer we het platform opleveren nemen we je mee door alle componenten en deployen we onze demo-app, zodat je alle facetten gezien en aangeraakt hebt. Heb je al meer kennis en ervaring op het gebied van Kubernetes en/of CI/CD? Dan kijken we ook graag met je mee om te bepalen waar we aan moeten sluiten om je eveneens succesvol te laten zijn op je platform.

Michiel van True
-

[Reactie gewijzigd door Rabb op 13 januari 2022 13:12]

Allemaal (open)SUSE gebruiken?

Begrijp ik nou goed dat je dus een besturingssysteem moet gebruiken dat Kubernetes ondersteund ?

https://www.youtube.com/watch?v=0w6kXdHXxAA
Kubernetes is een geweldige tool! Het grote probleem waar ik met kubernetes nogsteeds tegenaan loop is het niet kunnen definiëren van een egress (uitgaand) IP adres. Voor de gemiddelde particulier is dat gelukkig niet zo'n probleem, maar als je een bepaalde container vanaf een specifiek vast adres het internet op wilt laten gaan lijkt daar momenteel niet echt een oplossing voor, anders dan een egress-ip project op GitHub wat voor wat ik heb geprobeerd niet erg lekker leek te werken (met calico/metallb althans). Wellicht dat er Tweakers zijn die hier meer ervaring mee hebben?
Ik ben hetzelfde tegen gekomen toen wij onze CI/CD in k8s zetten. Veel services hadden een vast IP nodig. Uiteindelijk met een redelijke dirty oplossing kunnen fixen: https://techwolf12.nl/blo...an-kubernetes-static-ipv4

Maar hoor graag of mensen betere oplossingen hebben!
Ik heb inmiddels een goed werkende oplossing gevonden!
https://github.com/cybozu-go/coil

BIRD op de node zelf instellen en zorgen dat alleen de gewenste routes worden ge-exporteerd.
Vervolgens alvorens het builden even in kustomization.yaml de coil-router enable'en

Alles daarna is een field walk om eerlijk te zijn! Werkt top!

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee