Warning | ||
---|---|---|
| ||
QB:n dokumentaatio löytyy nykyään Con2:n Outlinestä. |
QB eli Kyyppä on Con2-projektin yhteinen Kubernetes-alusta.
Panel | ||
---|---|---|
| ||
Virtuaalikoneet
Container orchestration Konfiguraationhallinta |
Panel | ||
---|---|---|
| ||
Julkinen ja sisäinen aliverkko Kubernetes-verkkoratkaisu: Nekalan palomuuri: Ulos kaikki auki SSH-yhteys sisään Monokkelin kautta Konekohtainen palomuuri: Sisään tuleva HTTPS-liikenne: Palvelut osoitetaan tällä hetkellä vain yhteen Kyyppä-nodeen (default qb3), joka on niille SPOF. |
Panel | ||
---|---|---|
| ||
Kolme SAN-osiota per node:
Levyt Rook + Ceph Rookin upstream-ominaisuuksia joita odottelemme:
|
Panel | ||
---|---|---|
| ||
Erillinen tietokantapalvelin Siilo PostgreSQL: MySQL: Ks. Tietokannat |
Panel | ||
---|---|---|
| ||
Valvonta- ja hallintapalvelin Monokkeli Monitorointi: Lokienhallinta: Prometheus Loki |
Panel | ||
---|---|---|
| ||
Levysnapshotit ja tiedostotason varmuuskopiointi Ks. Varmuuskopiointi |
Panel | ||
---|---|---|
| ||
jenkins.tracon.fi (Monokkelilla) Joku moderni Kubernetes-natiivi vaihtoehto |
Selite: Tehty, odottaa, särki, vaatii pohdintaa
TODO
Tietoliikenne
- Testataan, että podien välinen kommunikaatio tekee mitä pitää.
- Sisäverkko nodejen välille
- Sisäverkon interfacet IP-osoitteineen
- Kuberneteksen osien välinen sisäinen kommunikaatio käyttämään sisäverkon osoitteita
- nginx-ingress-controller
- asennus (kubespray ansible)
- paljastaminen internettiin
- DNS
- Palomuuri
- virtual IP, keepalived
- node selector kuntoon: nyt vain mastereilla
- cert-manager
- asennus (kubespray ansible)
- konfigurointi
Storage
- Viritetään GlusterFS
Turvallisuus
- Varmistutaan siitä, että (ulko)verkkoon ei ole auki sellaisia palveluita, joilla voisi korkata nodet ja/tai Kuberneteksen.
- Konekohtainen palomuuri
Ylläpito
- Miten järkätään pääsy Kuberneteksen master apiin? Ts. kubectl adminien omilta työasemilta?
- Verkko: Mihin master api on auki?
- Käyttäjätunnukset: Miten ja mistä käsin provisioidaan säätäjien käyttäjätunnukset / käytetäänkö jotain jaettua?
CI/CD
- Esimerkki jenkins.tracon.fi -> QB deploymentistä, esim. dev.kompassi.eu
- emrichen toimimaan (asennettu: python 3.5, vaatii: python 3.6)
- kubectl:lle salaisuudet kuntoon
- service account
- role binding
- token secretiksi jenksuun
- palomuuriavaus, SSH-putki tmv. jolla kubectl pääsee tökkimään master apia monokkelilta käsin
Valvonta ja lokienhallinta
- QB nodet Monokkelin Prometheuksen valvontaan (ainakin node-exporter)
- EFK stack Monokkelille
Sovellukset
- dev.kompassi.eu
- conikuvat.fi (Edegal)
- con2.fi (Tracontent)