 |
kennylam777V2EX 第 90581 号会员,加入于 2015-01-08 01:22:38 +08:00今日活跃度排名 17395 |
kennylam777 最近回复了
40 天前 回复了 Inzufu 创建的主题 › 程序员 › 内网 IP 是否有必要上 HTTPS,如果有必要,应该怎么做 |
PVE 自帶 ACME 本來就十分簡單, 自動維護的, 我實在看不到不設定的理由, 而且好處多多, VNC 連線也比較順利。
況且局域網不是用 DHCPC 分發 DNS 的嗎?都這種規模難道沒有本地 DNS? 為甚麼要手動設定 Host?
而且 PVE 主機的 IP 是固定的, 為甚麼會每個局域網也需要設定一次?
不過近期和一些中國開發者合作, 對方連公網都不用 HTTPS, 甚麼 Nacos 等亂七八糟的東西都直接用公網 HTTP 無加密連線, 就只有一個限制 IP 地址的防火牆, 甚麼 MySQL 密碼的都在國際雲上用 HTTP 直接通過 GFW 連回去中國辦公室的固定 IP 就是了, 這個國家的人似乎特別討厭 HTTPS 似的。
況且局域網不是用 DHCPC 分發 DNS 的嗎?都這種規模難道沒有本地 DNS? 為甚麼要手動設定 Host?
而且 PVE 主機的 IP 是固定的, 為甚麼會每個局域網也需要設定一次?
不過近期和一些中國開發者合作, 對方連公網都不用 HTTPS, 甚麼 Nacos 等亂七八糟的東西都直接用公網 HTTP 無加密連線, 就只有一個限制 IP 地址的防火牆, 甚麼 MySQL 密碼的都在國際雲上用 HTTP 直接通過 GFW 連回去中國辦公室的固定 IP 就是了, 這個國家的人似乎特別討厭 HTTPS 似的。
40 天前 回复了 Inzufu 创建的主题 › 程序员 › 内网 IP 是否有必要上 HTTPS,如果有必要,应该怎么做 |
我的 PVE 及 Opnsense 都有正式的證書,因為我就有一個域名,用 ACME + DNS-01 也算方便。
本來就有一堆東西需要內網解析,倒也不難。
本來就有一堆東西需要內網解析,倒也不難。
49 天前 回复了 lingerr 创建的主题 › Kubernetes › 自行搭建 k8s ,怎么通过域名访问服务 |
@lingerr HostPort 跟 HostNetwork 是兩碼事
HostNetwork 會影響到 networking namespace, 比如說 HostNetwork 的 container 裡面 listen 0.0.0.0:80, 就是用 Host 的所有 IP listen 80, 因為 container 直接用 Host network(名字就說明了), 在 k8s 不定義甚麼也能曝露出去。
但 HostPort 的話, container 裡面仍然是一個帶 Pod IP 的獨立 network interface, HostPort 只是將指定 Pod 端口在 Host 曝露出去。
HostNetwork 會影響到 networking namespace, 比如說 HostNetwork 的 container 裡面 listen 0.0.0.0:80, 就是用 Host 的所有 IP listen 80, 因為 container 直接用 Host network(名字就說明了), 在 k8s 不定義甚麼也能曝露出去。
但 HostPort 的話, container 裡面仍然是一個帶 Pod IP 的獨立 network interface, HostPort 只是將指定 Pod 端口在 Host 曝露出去。
52 天前 回复了 jackge0323 创建的主题 › Kubernetes › metallb 可以绑定多个 ip 吗?求解答 |
你的需求是 HostPort 不是 LoadBalancer, LoadBalancer 就是獨立一個 IP 的服務。
MetalLB 有 L2 ARP 及 L3 BGP 的 IP 路由方法, 你完全沒提及過, 恐怕根本不知道 MetalLB 在幹啥。
簡單一點, 用 DaemonSet 跑 Traefik + HostPort 吧......
MetalLB 有 L2 ARP 及 L3 BGP 的 IP 路由方法, 你完全沒提及過, 恐怕根本不知道 MetalLB 在幹啥。
簡單一點, 用 DaemonSet 跑 Traefik + HostPort 吧......
52 天前 回复了 lingerr 创建的主题 › Kubernetes › 自行搭建 k8s ,怎么通过域名访问服务 |
@mightybruce 其實在正式的 LoadBalancer 上, 也是用 NodePort 的, 不然雲服務商的 LoadBalancer 如何連接到服務上? LoadBalancer 的實作會幫你把 NodePort 至雲上的對應都處理好, 可以看看 aws-load-balancer-controller 的實作。
只是在生產環境上, Node Group 的端口不能直接全開到公網。
@lingerr 自己玩的就直接用 HostPort 吧, 一般 ingress controller 都支持, 這樣最簡單了。
只是在生產環境上, Node Group 的端口不能直接全開到公網。
@lingerr 自己玩的就直接用 HostPort 吧, 一般 ingress controller 都支持, 這樣最簡單了。
59 天前 回复了 yatoroame 创建的主题 › NAS › 如何限制 NAS 的最大传输速率? |
就是內網單 IP 的 QoS 而已
76 天前 回复了 lsk569937453 创建的主题 › 程序员 › 学完 Java 和 rust 再学 cangjie 有种割裂感。。。。 |
Cangjie 對我來說就是輸入法....
102 天前 回复了 hwcloudnative 创建的主题 › 云计算 › [FinOps] [K8s] 有对 AWS EKS 成本优化感兴趣的吗? |
我的心得是, 大型 instances 的 overhead 比小型的好, 所以如果出現 6 台以上的 static node pool, 就是利用率比較固定的那種, 倒是可以看看擴大一倍實例把 node 數量維持在 3 左右, 而 autoscale 的小型 instances 就分開一個 node pool, 控制突發用量的成本。
還有跨 AZ 的問題, Pod 之間的通訊, 如非必要就留在同一個 zone 內, 也可以省不少。
我的經驗是, 經過快速擴張後, 坐下來研究一下利用率, 最高能省 80%, 但某程度上是因為之前的 devs 不注重成本效益, 當時公司也不差錢啦。
還有跨 AZ 的問題, Pod 之間的通訊, 如非必要就留在同一個 zone 內, 也可以省不少。
我的經驗是, 經過快速擴張後, 坐下來研究一下利用率, 最高能省 80%, 但某程度上是因為之前的 devs 不注重成本效益, 當時公司也不差錢啦。
143 天前 回复了 g0python32 创建的主题 › 程序员 › 关于 acme.sh 申请的免费证书, renew 的问题 |
cert-manager +1
我記得 rancher 現在是 k8s 的吧, 你還要考慮的是 ingress 能不能直接跟據 k8s secret 的 public cert 更新而自動載入, Ingress-NGINX Controller for Kubernetes 是可以的
nginx -s reload 是有缺點的, 畢竟你的證書一直增加上去, 就要經常 reload
在 Ingress-NGINX Controller for Kubernetes 就直接用 Lua 動態載入來解決。
k8s 的問題, 還是用 k8s 的方式解決吧。
我記得 rancher 現在是 k8s 的吧, 你還要考慮的是 ingress 能不能直接跟據 k8s secret 的 public cert 更新而自動載入, Ingress-NGINX Controller for Kubernetes 是可以的
nginx -s reload 是有缺點的, 畢竟你的證書一直增加上去, 就要經常 reload
在 Ingress-NGINX Controller for Kubernetes 就直接用 Lua 動態載入來解決。
k8s 的問題, 還是用 k8s 的方式解決吧。
Select Language