30.03.2023 09:29
Zhbert 4 1600 Источник

В новом релизе Kubernetes-платформы Deckhouse v1.43 появилась система виртуализации, основанная на современных технологиях: KubeVirt, Cilium, LINSTOR. Она позволяет в удобном и привычном для пользователя платформы режиме запускать виртуальные машины и управлять их жизненным циклом.

В статье мы рассмотрим это на практике: развернем Deckhouse на bare-metal-сервере, запустим в нем виртуальную машину и протестируем, как обеспечивается связь между компонентами кластера с помощью магии Cilium.

Виртуализация в кластере

С новой системной виртуализации появилась возможность запускать привычные виртуальные машины (ВМ) прямо в Kubernetes и работать с ними как с ресурсами кластера. 

Это может быть полезно, если для работы приложений требуются какие-то специфические инструменты, работа которых невозможна в K8s. А также в случае перехода от старой инфраструктуры с ВМ к контейнеризации приложений. В этом случае можно развернуть одну часть приложения в кластере, а другую поднять рядом в отдельной ВМ, созданной средствами Deckhouse и объединенной с кластером одной сетью.

Подготовка сервера

Для установки нам понадобится сервер, соответствующий минимальным требованиям:

  • не менее 4 ядер CPU;

  • не менее 8 Гб RAM;

  • не менее 40 Гб дискового пространства;

  • HTTPS-доступ к хранилищу образов контейнеров registry.deckhouse.io;

  • на сервере не должно быть установлено пакетов container runtime, например containerd или Docker.

Также понадобится персональный компьютер, с которого будет производиться установка. Он должен соответствовать следующим требованиям:

  • ОС: Windows 10+, macOS 10.15+, Linux (Ubuntu 18.04+, Fedora 35+);

  • установленный Docker для запуска инсталлятора Deckhouse (инструкции по установке для Ubuntu, macOS, Windows);

  • HTTPS-доступ к хранилищу образов контейнеров registry.deckhouse.io;

  • SSH-доступ по ключу к серверу, который будет master-узлом будущего кластера.

В качестве сервера для тестов у нас будет 1U-сервер Supermicro со следующими характеристиками:

  • 2 процессора Intel(R) Xeon(R) CPU E5620 @ 2.40GHz, 16 ядер;

  • 40 Гб оперативной памяти;

  • 256 Гб SSD под корень ОС;

  • 320 Гб на отдельном диске для хранения данных виртуальных машин.

В первую очередь установим ОС, выбрав подходящую из списка поддерживаемых:

  • РЕД ОС 7.3;

  • AlterOS 7;

  • Astra Linux Special Edition 1.7.2;

  • CentOS 7, 8, 9;

  • Debian 9, 10, 11;

  • Rocky Linux 8, 9;

  • Ubuntu 18.04, 20.04, 22.04.

В нашем случае это будет Ubuntu Server 22.04.2 LTS. Устанавливаем ее в обычном режиме, не разбивая диск на разделы и не выбирая в конце установки никакого дополнительного софта, кроме OpenSSH-сервера.

Загружаемся в свежую ОС и настраиваем доступ по ключу с основного ПК:

$ ssh-copy-id <IP-адрес сервера>

Команда не сработает, если ключ не был заранее сгенерирован. Сгенерировать его можно командой ssh-keygen -t rsa.

Подключимся к серверу, чтобы убедиться, что все настроено как нужно:

$ ssh 192.168.2.38
Welcome to Ubuntu 22.04.2 LTS (GNU/Linux 5.15.0-60-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Wed Mar  1 11:23:13 AM UTC 2023

  System load:  0.0                Temperature:             46.0 C
  Usage of /:   2.7% of 292.35GB   Processes:               135
  Memory usage: 2%                 Users logged in:         0
  Swap usage:   0%                 IPv4 address for enp3s0: 192.168.2.38


 * Introducing Expanded Security Maintenance for Applications.
   Receive updates to over 25,000 software packages with your
   Ubuntu Pro subscription. Free for personal use.

     https://ubuntu.com/pro

Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Wed Mar  1 10:34:01 2023 from 192.168.2.35

Все работает. Отключаемся от сервера, выполнив команду exit или нажав сочетание клавиш Ctrl + D.

Установка Deckhouse на сервер

Конфигурация будущего кластера

Перейдем на страницу конфигурации будущего кластера в разделе Getting Started официального сайта Deckhouse. Здесь нужно указать шаблон доменных имен для веб-интерфейсов будущих компонентов кластера, таких как Grafana или Kubernetes Dashboard:

Шаблон имеет формат %s.example.com, где %s — имена доменов системных приложений кластера.

Нажмем кнопку Далее: Установка.

На следующей странице отобразится сгенерированное содержимое для файла конфигурации config.yml. Введенный ранее шаблон доменных имен появится в секции publicDomainTemplate:

# Cекция с общими параметрами кластера (ClusterConfiguration).
# Используемая версия API Deckhouse Platform.
apiVersion: deckhouse.io/v1
# Тип секции конфигурации.
kind: ClusterConfiguration
# Тип инфраструктуры: bare metal (Static) или облако (Cloud).
clusterType: Static
# Адресное пространство Pod'ов кластера.
podSubnetCIDR: 10.111.0.0/16
# Адресное пространство для Service'ов кластера.
serviceSubnetCIDR: 10.222.0.0/16
# Устанавливаемая версия Kubernetes.
kubernetesVersion: "1.23"
# Домен кластера.
clusterDomain: "cluster.local"
---
# Секция первичной инициализации кластера Deckhouse (InitConfiguration).
# Используемая версия API Deckhouse.
apiVersion: deckhouse.io/v1
# Тип секции конфигурации.
kind: InitConfiguration
# Секция с параметрами Deckhouse.
deckhouse:
  # Используемый канал обновлений.
  releaseChannel: Stable
  configOverrides:
    global:
      modules:
        # Шаблон, который будет использоваться для составления адресов системных приложений в кластере.
        # Например, Grafana для %s.example.com будет доступна на домене grafana.example.com.
        publicDomainTemplate: "%s.example.com"
    # Включить модуль cni-cilium.
    cniCiliumEnabled: true
    # Конфигурация модуля
    cniCilium:
      # Режим работы туннеля.
      tunnelMode: VXLAN
---
# Cекция с параметрами bare metal кластера (StaticClusterConfiguration).
# Используемая версия API Deckhouse.
apiVersion: deckhouse.io/v1
# Тип секции конфигурации.
kind: StaticClusterConfiguration
# Список внутренних сетей узлов кластера (например, '10.0.4.0/24'), который
# используется для связи компонентов Kubernetes (kube-apiserver, kubelet...) между собой.
# Если каждый узел в кластере имеет только один сетевой интерфейс,
# ресурс StaticClusterConfiguration можно не создавать.
internalNetworkCIDRs:
- '192.168.2.0/24'

Здесь нужно обратить внимание на два момента:

  1. В последней секции сгенерированного конфигурационного файла — StaticClusterConfiguration — нужно указать сеть, в которую смотрит основной сетевой интерфейс сервера, т. к. на борту их несколько.
    ☝️ Если на вашей машине один сетевой интерфейс — эту секцию можно удалить.

  2. Модуль, реализующий CNI, заменен с cni-flannel на cni-cilium. Это необходимо для работы виртуальных машин — их сетевое взаимодействие организовано на базе Cilium. Также у него указан параметр работы туннелей tunnelMode: VXLAN.

Сохраним полученное содержимое в файле config.yml, положив его в любой отдельный каталог.

Установка Deckhouse

Для установки платформы используется специальный подготовленный Docker-образ, в который необходимо передать созданный конфигурационный файл и SSH-ключи доступа на master-узел.

Перейдем в каталог с созданным файлом и выполним команду:

docker run --pull=always -it -v "$PWD/config.yml:/config.yml" -v "$HOME/.ssh/:/tmp/.ssh/" registry.deckhouse.io/deckhouse/ce/install:stable bash

Через некоторое время образ скачается из хранилища, запустится, и в терминале будет отображено приглашение командной строки внутри созданного контейнера:

[deckhouse] root@9134e1cd790b / #

Выполним команду:

dhctl bootstrap --ssh-user=<username> --ssh-host=<master_ip> --ssh-agent-private-keys=/tmp/.ssh/id_rsa \
  --config=/config.yml \
  --ask-become-pass

На запрос пароля sudo введем пароль пользователя на сервере.

Если sudo на сервере настроен таким образом, чтобы не запрашивать пароль, не вводите параметр --ask-become-pass.

Установка может занять от 15 до 30 минут, в процессе будет отображаться подробный лог. По завершении мы снова увидим приглашение командной строки контейнера.

Финальная настройка кластера

Осталось выполнить несколько шагов, чтобы кластер был готов к работе.

Добавим конфигурацию kubectl для обычного пользователя, чтобы не вызывать каждый раз sudo:

$ mkdir ~/.kube
$ sudo cat /etc/kubernetes/admin.conf >> ~/.kube/config

Убедимся, что теперь вызов команды доступен без повышенных привилегий:

$ kubectl get no
NAME                  STATUS   ROLES                  AGE     VERSION
virtualization-habr   Ready    control-plane,master   3d20h   v1.23.15

Так как наш кластер состоит из одного узла, нужно снять с него taint. Для этого выполним на сервере команду:

kubectl patch nodegroup master --type json -p '[{"op": "remove", "path": "/spec/nodeTemplate/taints"}]'

Если ваш кластер будет состоять из нескольких узлов, вместо снятия taint'а добавьте в кластер дополнительные узлы.

После этого нужно подождать несколько минут, пока Deckhouse переконфигурируется. Проверить статус можно командой:

kubectl -n d8-system exec deploy/deckhouse -- deckhouse-controller queue list

В ответ будет отображено много текста с описанием модулей, но нас интересует последняя часть:

Summary:
- 'main' queue: empty.
- 68 other queues (1 active, 67 empty): 1 task.
- total 1 task to handle.

Если в строке queue значение не empty, значит процесс еще не завершен.

Установка Ingress-контроллера

Создадим на master-узле файл ingress-nginx-controller.yml в отдельном каталоге:

$ mkdir templates
$ cd templates
~/templates$ vim ingress-nginx-controller.yml

Скопируем в файл конфигурацию контроллера:

# Cекция, описывающая параметры nginx ingress controller.
# Используемая версия API Deckhouse.
apiVersion: deckhouse.io/v1
kind: IngressNginxController
metadata:
  name: nginx
spec:
  # Имя Ingress-класса для обслуживания Ingress NGINX controller.
  ingressClass: nginx
  # Версия Ingress-контроллера (используйте версию 1.1 с Kubernetes 1.23+).
  controllerVersion: "1.1"
  # Способ поступления трафика из внешнего мира.
  inlet: HostPort
  hostPort:
    httpPort: 80
    httpsPort: 443
  # Описывает, на каких узлах будет находиться компонент.
  # Возможно, захотите изменить.
  nodeSelector:
    node-role.kubernetes.io/control-plane: ""
  tolerations:
  - operator: Exists

Применим его, выполнив команду:

kubectl create -f ingress-nginx-controller.yml

Если все прошло успешно, в ответ отобразится сообщение:

ingressnginxcontroller.deckhouse.io/nginx created

Создание пользователя для доступа в веб-интерфейсы кластера

Чтобы получить доступ в веб-интерфейсы кластера, необходимо создать пользователя, под которым будет выполняться вход. Скопируем содержимое в файл user.yml:

apiVersion: deckhouse.io/v1
kind: ClusterAuthorizationRule
metadata:
  name: admin
spec:
  # Список учётных записей Kubernetes RBAC.
  subjects:
  - kind: User
    name: admin@deckhouse.io
  # Предустановленный шаблон уровня доступа.
  accessLevel: SuperAdmin
  # Разрешить пользователю делать kubectl port-forward.
  portForwarding: true
---
# Секция, описывающая параметры статического пользователя.
# Используемая версия API Deckhouse.
apiVersion: deckhouse.io/v1
kind: User
metadata:
  name: admin
spec:
  # E-mail пользователя
  email: admin@deckhouse.io
  # Это хэш пароля byul2sbqfb, сгенерированного сейчас.
  # Сгенерируйте свой или используйте этот, но только для тестирования.
  # echo "byul2sbqfb" | htpasswd -BinC 10 "" | cut -d: -f2
  # Возможно, захотите изменить.
  password: '$2a$10$pnQvwsl.gibQ1oM/z3D9g.g6o8v7dkbyqT0wFh7MsA7sUu3GhRwl6'

Обратите внимание на раздел password: в комментариях показан пример генерации нового пароля. Обязательно измените пароль, если готовите кластер не для ознакомительных целей!

Применим созданный файл в кластере:

kubectl create -f user.yml

В случае успешного создания пользователя отобразится сообщение:

clusterauthorizationrule.deckhouse.io/admin created
user.deckhouse.io/admin created

Подготовка DNS-записей

Для доступа к веб-интерфейсам кластера необходимо настроить DNS-записи, ведущие на IP-адрес master-узла кластера. Сделать это можно различными способами: настроить DNS-сервер, прописать соответствие в админ-панели хостера, предоставляющего доменное имя, или же указать нужные записи в файле hosts.

Добавим следующие строки в /etc/hosts на рабочей машине, с которой велась установка:

api.example.com
argocd.example.com
dashboard.example.com
deckhouse.example.com
dex.example.com
grafana.example.com
hubble.example.com
istio.example.com
istio-api-proxy.example.com
kubeconfig.example.com
openvpn-admin.example.com
prometheus.example.com
status.example.com
upmeter.example.com

Не забудьте поменять example.com на адрес, указанный в config.yml.

Проверка работоспособности

Теперь убедимся, что кластер развернут и готов к работе. Зайдем в веб-интерфейс Grafana по адресу grafana.example.com. Нас перебросит на страницу входа Dex, где нужно ввести данные созданного ранее пользователя:

После ввода учетных данных откроется главный дашборд Grafana:

Здесь отображается основная информация о компонентах кластера, а также его нагрузка.

Кластер работает. Настало время развернуть в нем виртуальные машины!

Развертывание виртуальных машин

Включение LINSTOR

Для работы с виртуальными жесткими дисками используется модуль linstor, реализующий в кластере поддержку LINSTOR — системы для оркестрации блочных устройств хранения данных в Kubernetes. 

Создадим файл linstor.yml:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: linstor
spec:
  enabled: true

И применим его в кластере:

$ kubectl create -f linstor.yml
moduleconfig.deckhouse.io/linstor created

Подождем пару минут и убедимся, что модуль запущен и работает:

$ kubectl get moduleconfigs
NAME             STATE     VERSION   AGE     STATUS
cni-cilium       Enabled   1         3d22h
deckhouse        Enabled   1         3d22h
global           Enabled   1         3d22h
linstor          Enabled   1         96s

Конфигурация хранилища

Теперь нужно сконфигурировать хранилище.

Добавим alias для удобного управления LINSTOR:

alias linstor='kubectl exec -n d8-linstor deploy/linstor-controller -- linstor'

Для сохранения настроек пропишите эту команду в ~/.bashrc — и в новом сеансе SSH команда станет доступна сразу после входа.

Посмотрим список всех доступных для организации хранилища дисковых устройств:

$ linstor physical-storage list
+----------------------------------------------------+
| Size         | Rotational | Nodes                  |
|====================================================|
| 500107862016 | True       | officeserver[/dev/sda] |
+----------------------------------------------------+

Обратите внимание, что здесь отображаются только пустые диски!

Для некоторых действий с хранилищем может понадобиться использование мастер-пароля, поэтому создадим Secret с ним (файл pass.yml):

apiVersion: v1
kind: Secret
metadata:
  name: linstor-passphrase
  namespace: d8-system
immutable: true
stringData:
  MASTER_PASSPHRASE: *!пароль* # Мастер-пароль для LINSTOR

И применим его в кластере:

$ kubectl create -f pass.yml
secret/linstor-passphrase created

Теперь создадим новый пул LVM на отдельном диске /dev/sda, найденном выше:

$ sudo vgcreate vg0 /dev/sda --add-tag linstor-data
  Physical volume "/dev/sda" successfully created.
  Volume group "vg0" successfully created

Подождем несколько минут пока пул будет создан, и убедимся, что следом за ним создался и StorageClass, в котором будут храниться диски будущих виртуальных машин:

$ kubectl get storageclass
NAME              PROVISIONER              RECLAIMPOLICY   VOLUMEBINDINGMODE   ALLOWVOLUMEEXPANSION   AGE
linstor-data-r1   linstor.csi.linbit.com   Delete          Immediate           true                   2m46s

Хранилище готово! Можно создавать виртуальные машины.

Включение модуля виртуализации

По умолчанию модуль виртуализации отключен.

Создадим файл virtualization.yml со следующим содержимым:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: virtualization
spec:
  version: 1
  enabled: true
  settings:
    vmCIDRs:
    - 10.10.10.0/24

В параметре vmCIDRs мы указали подсеть, из которой будут выделяться IP-адреса виртуальным машинам.

Применим модуль на master-узле:

$ kubectl create -f virtualization.yml
moduleconfig.deckhouse.io/virtualization created

Подождем пару минут и проверим, что модуль запустился:

$ kubectl get moduleconfigs
NAME             STATE     VERSION   AGE     STATUS
cni-cilium       Enabled   1         80m
deckhouse        Enabled   1         80m
global           Enabled   1         80m
linstor          Enabled   1         40m
virtualization   Enabled   1         3m26s

В последней строчке состояние модуля должно быть Enabled.

Создание виртуальных машин

Посмотрим перечень ОС, доступных для развертывания на создаваемых виртуальных машинах:

$ kubectl get cvmi
NAME           AGE
ubuntu-18.04   80s
ubuntu-20.04   80s
ubuntu-22.04   80s

При первом вызове команда может показать ошибку error: the server doesn't have a resource type "cvmi" — нужно просто подождать и еще раз выполнить запрос.

Создадим файл habr-vm.yml с описанием будущей виртуальной машины:

apiVersion: deckhouse.io/v1alpha1
kind: VirtualMachine
metadata:
  name: habr-vm
  namespace: default
spec:
  running: true
  resources:
    memory: 8192M
    cpu: "4"
  userName: ubuntu
  sshPublicKey: "ssh-rsa AAAAB3NzaC1yc2EAAAADA ..."
  bootDisk:
    source:
      kind: ClusterVirtualMachineImage
      name: ubuntu-22.04
    size: 50Gi
    storageClassName: linstor-data-r1
    autoDelete: true

Здесь нужно указать параметры будущей виртуальной машины: количество оперативной памяти, имя пользователя, количество ядер CPU и ключ SSH для аутентификации. А также в разделе storageClassName указать созданный ранее StorageClass.

Применим файл на master-узле:

$ kubectl create -f habr-vm.yml
virtualmachine.deckhouse.io/habr-vm created

Подождем некоторое время, пока машина развернется, и убедимся, что она запущена:

$ kubectl get virtualmachines
NAME        IPADDRESS    STATUS         AGE
habr-vm   10.10.10.0   Provisioning   40s

Статус Provisioning говорит о том, что машина успешно создана и в данный момент разворачивается. Как только процесс завершится, статус изменится на Running.

Если вы обнаружили ошибку в конфиге и хотите пересоздать ВМ, сначала удалите развернутую машину, а затем исправьте конфиг и создайте ВМ заново:

$ kubectl delete virtualmachines master-vm
virtualmachine.deckhouse.io "master-vm" deleted

Проверка работоспособности

Итак, виртуальная машина развернута и успешно работает. Cilium обеспечивает сетевую связность элементов кластера таким образом, что получить доступ к созданной ВМ можно из любого места, например из Pod'а, развернутого в кластере непосредственно рядом с ВМ. 

Создадим демо-Pod для проверки:

$ kubectl run demo --image=ubuntu --rm -it --command -- bash
If you don't see a command prompt, try pressing enter.
root@demo:/#

И попробуем «достучаться» до развернутой рядом виртуальной машины. Для этого сначала установим утилиту ping, которой по умолчанию нет в образе Ubuntu, а затем «постучимся» по IP-адресу ВМ:

/# apt update
/# apt install iputils-ping

/# ping 10.10.10.0
PING 10.10.10.0 (10.10.10.0) 56(84) bytes of data.
64 bytes from 10.10.10.0: icmp_seq=1 ttl=63 time=0.310 ms
64 bytes from 10.10.10.0: icmp_seq=2 ttl=63 time=0.356 ms
64 bytes from 10.10.10.0: icmp_seq=3 ttl=63 time=0.410 ms
64 bytes from 10.10.10.0: icmp_seq=4 ttl=63 time=0.384 ms
^C
--- 10.10.10.0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3063ms

Как видно из лога, прямой доступ из Pod'а в кластере к ВМ есть.

Получение доступа к виртуальной машине извне

Сейчас виртуальная машина доступна только внутри сервера. В таком режиме можно работать, если она требуется только для развертывания отдельного сервиса. Но иногда нужен доступ к ней или ее сервисам снаружи. Предоставить его можно с помощью Service с настроенными externalIPs:

apiVersion: v1
kind: Service
metadata:
  labels:
    run: master-service
  name: master-service
  namespace: default
spec:
  ports:
  - port: 15022
    protocol: TCP
    targetPort: 22
  selector:
    vm.kubevirt.io/name: habr-vm
  externalIPs:
  - 192.168.2.45

Здесь мы пробрасываем порт 15022 снаружи кластера на порт 22 ВМ с именем habr-vm, чтобы получить SSH-доступ к машине извне кластера.

Сохраним его в файл external-ip.yml и применим:

$ kubectl create -f external-ip.yml
service/master-service created

Убедимся, что Service создан и работает:

$ kubectl get service
NAME             TYPE        CLUSTER-IP      EXTERNAL-IP    PORT(S)     AGE
kubernetes       ClusterIP   10.222.0.1      <none>         443/TCP     3h50m
master-service   ClusterIP   10.222.158.22   192.168.2.45   15022/TCP   6s

Здесь мы воспользовались простым пробросом порта снаружи на ресурс внутри кластера. Такой подход не очень удобен, т. к. требует явного указания порта для соединения по SSH с внутренней ВМ. Если обратиться на порт по умолчанию (22), то мы попадем на master-узел основного кластера.

Для элегантного решения этой проблемы можно воспользоваться модулем metallb Deckhouse, который доступен в Enterprise-версии платформы. С его помощью можно настроить доступ так, чтобы из сети казалось, что у master-узла кластера есть несколько IP-адресов. Это позволит получить доступ к ВМ напрямую по ее IP без проброса разных портов.

Проверим, что теперь мы можем попасть на внутреннюю ВМ снаружи:

$ ssh 192.168.2.45 -p 15022
Welcome to Ubuntu 22.04.1 LTS (GNU/Linux 5.15.0-57-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Tue Mar 21 13:24:57 UTC 2023

  System load:  0.0               Processes:               128
  Usage of /:   2.9% of 48.28GB   Users logged in:         0
  Memory usage: 3%                IPv4 address for enp1s0: 10.10.10.0
  Swap usage:   0%


0 updates can be applied immediately.


The list of available updates is more than a week old.
To check for new updates run: sudo apt update

Last login: Tue Mar 21 13:16:49 2023 from 192.168.2.35
To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.

zhbert@habr-vm:~$

Заключение

В статье мы рассмотрели пример использования нового модуля виртуализации Deckhouse. С его помощью можно развернуть полноценную виртуальную машину и работать с ней как с ресурсом Kubernetes, используя привычные команды kubectl. 

Магия Cilium, основанного на eBPF проекта для реализации сетевого взаимодействия, позволяет обеспечить сетевую связность всех компонентов таким образом, чтобы доступ к виртуальной машине был возможен из любой точки кластера. Благодаря этому ВМ можно использовать для развертывания сервисов, которые по каким-либо причинам невозможно развернуть внутри кластера привычным способом. Более того, на созданных ВМ можно развернуть еще один кластер под управлением Deckhouse, а затем получить доступ к отдельной ВМ уже из него.

С любыми вопросами и предложениями ждем вас в комментариях к статье, а также в Telegram-чате deckhouse_ru, где всегда готовы помочь. Будем рады issues (и, конечно, звёздам) в GitHub-репозитории Deckhouse.

P.S.

Читайте также в нашем блоге:

Комментарии (4)


  1. b0r0dat0r
    00.00.0000 00:00
    #25389224
    +5

    "ssh-keygen -t rsa" - плохой совет =) - не безопасно, в centos 9 stream по умолчанию отключен политиками операционки. "ssh-keygen -t ed25519" - будет немного получше.


    1. Zhbert Автор
      00.00.0000 00:00
      #25393190
      +3

      Я бы не назвал это плохим советом. Да, сейчас многие топят за переход на ed25519 (включая GitHub), и, наверное, это имеет смысл в рамках повышение общей безопасности. Но не стоит забывать и про многие легаси-хосты, с доступом к которым могут быть проблемы при использовании не-rsa ключей.

      В рамках этой статьи выбор шифрования ключа не так принципиален, как мне кажется, а приведенный пример выглядит более привычным (по запросу в гугле «Как сгенерировать SSH-ключ?» большинство статей возрастом не старше пары лет с момента публикации выдаст просто команду ssh-keygen с генерацией id_rsa.


      1. grossws
        00.00.0000 00:00
        #25395694

        Несколько лет назад пришлось дёргать ssh-keygen -t dsa ради какого-то из промышленных контроллеров, т.к. там до rsa местами ещё не дошли. Но там Linux 2.4, что кагбэ намекает на актуальность всего остального софта.

        В современном мире при наличии centos 6 в эксплуатации rsa всё ещё нужен, не помню насчёт 7.


  1. k3NGuru
    00.00.0000 00:00
    #25394694

    Несколько вопросов
    1) ClusterVirtualMachineImage - шаблоны скачиваются сразу на хост или они хранятся в registry.deckhouse.io?

    2) vmCIDRs - сети, как они управляются? DHCP, как выбирать сеть, чтоб она не конфликтовала с уже имеющимеся? Посмотреть уже какие IP заняты, а какие нет.