два на другой. ДРуг друга курлят поды, который находятся на одной и той же ноде. Если на разных, не курлятся. С этим я смирился. Делаю networkpolicy deny для всех подов. По идее, как я понимаю, доступ должен друг к дружке пропасть совсем . Но ничего не меняется. Что не так?)
какой у тебя CNI?
кажется что именно с ним проблема, посмотри что в логах кластера
Так плагин то твой network policy поддерживает?
Вот сорян. Я пока плаваю еще в этом. Не могу достоверно прям вот счаз сказать). Пока думаю, как осознанно плагин выбрать)
Что используешь скажи
ну можно сделать вывод что твой cni не работает как надо. Если у тебя без nework polocy два пода на разных нодах законектится не могут
а судя по тому что у тебя бриджи, и непонятно как там сеть между нодами строится. Можно сделать вывод что сеть подов работать и не будет между нодами
Я не уверен. Но. Используемые плагины здесь же смотрятся? cat /etc/cni/net.d/87-podman-bridge.conflist
возьми готовый плагин. calico, cilium, kube-router, etc Чтобы понимать что там у тебя в /etc/cni/net.d нужна экспертиза и в целом понимание как cni работает в кубе. Ты рано туда полез. Ну и networik policy из не откуда тоже не возьмутся, для этого нужен какой-то контроллер который будет их реализовывать (в cailco, cilium, kube-router это уже есть)
Спасибо за направление). А то я поплыл)).
Можно еще раз спрошу? ) Я пока разобрался, что плагины находятся в /opt/cni/bin/ . Есть там плагин weave. Я его поставил. В папке /etc/cni/net.d/ появились два файла 10-weave.conflist и 87-podman-bridge.conflist. Теперь бы понять, какой плагин из какого конфигурационного файла будет использоваться?)). Где это указывается?
нет, там находится конфигурация cni. Сетевой плагин, это набор всякого разного. Он в том числе добавляет конфигурацию cni в /etc/cni и бинари может добавить в /opt/cni/bin. Но еще он сам по себе работает на всех нодах (обычно это daemonset) и делает всякое разное (сильно зависит от плагина на самом деле). Плагин может и базу данных даже иметь свою отдельную. Например такой плагин может маршруты раскидывать на ноды Может туннели настроить Может управлять сетевыми политиками (например с помощью iptables/nftables и ipset) Да кучу всего.
Вот они). Понять бы, что еще как они еще делают свою работу) . Получается, что все-таки у меня все есть для работы. И именно это плагин глюкана ловит.
Замени на Калико или цилиум
Окай. Попробую)
они делают свою работу очень по разному. Да еще и в пределах одного плагина он может работать по разному в зависимости от настроек с weave не знаком сорян
В любом случае пасиб). Я на пару килобайт поумнел)
Обсуждают сегодня