Постараюсь оставить под каждым видео по комментарию длиной больше 7 слoв, чтобы ютуб начал наконец тебя поднимать в поиске. Спасибо за твоё время и знания)
Тоже удивился, что такой полезный контент и так мало лайков, а 3 года назад уже! Я разные варианты x-ui на VPS пробую ставить, вражеская народу власть заставляет просвещаться)) Вот поэтому и предложилось) Автору респектище прям за подачу!)
Видео огонь! спасибо большое за вашу работу. Единственный момент, который вызвал у меня трудность, как у новичка, это установка nginx ingress'a. В видео вы просто копируете одну ссылку и устанавливаете, а на сайте у них какая-то бесконечная инструкция, в которой я потерялся. Не исключаю, то нехватает опыта. Ещё раз спасибо!
Большое спасибо за подачу! А то сейчас на волне необходимости недетектируемых VPN и покупки своих серверов, много стало неграмотных, а то и не знающих лезть в просветители, нейронками подготовят что-нить, а объяснить толком не могут))
от девопса девопсу. Работаю в интерпрайзе, основная идея была разобраться в кубере до такого же понимания устройства его компонентов, но увы на практике это все редко где нужно так глубоко знать. Если говорить про всякие там зеленые или синие компании, то там большая часть работ автоматизирована или органичена. Однако я бы хотел сохранить серию этих видео, крайне полезная вещь, могу обменять диски на хороший виски :)
Не часто что-то комментирую на ютубе, но сейчас исключение Огромнейшее спасибо за актуальный тутор по le, а то всё что находил было на версии ниже первой, и сейчас не работает/работает через раз
Спасибо огромное! очень доходчиво, всё понятно. У меня один вопрос, может, Вы сталкивались с таким, если "да", то как решали? У меня прод не доступен из публичного инета без ВПН. т.е. чтобы было доступно приложение, нужно сначала подключиться к ВПН. Соответственно, валидация доменного имени не проходит, ведь, как я понимаю, запрос идёт по доменного имени откуда-то с сервера let's encrypt(естественно, они не могут никак подлючиться к нашему ВПН) Сейчас сертификат руками перевыпускать, и "подсовывать" его в ингресс.
Привет спасибо за видео хотел тебя спросить в ClusterIssuer ты указываешь любой рабочий почтовый ящик как понимаю, или желательно нужен почтовый ящик самого домена для которого выпускается сертификат как некоторые виды ssl сертификатов требуют?
@@BAKAVETS Обязательно ли нужен loadbalancer чтобы получить сертификат? И если нужен как правильно его настроить для получения сертификата, если у меня kuber развернут на Centos на сервере у обычного хостинг провайдера ?
@@sammygun84 для HTTP01 challenge нужен доступ из интернетa, не обязательно LB. Есть другой вариант без внешнего доступа. DNS01 Challenge: th-cam.com/video/KM6qPVdWz2s/w-d-xo.html
Спасибо за видео очень помогает, есть вопрос для этого урока каким способом был поднять k8s на aws ? через terraform (как в 3м уроке ) или через eksctl (как в 2м уроке)? А то у меня не появляется внешний ip после установки ingress
Привет, интересно было бы посмотреть по wildcard certificates от let's encrypt, может есть мысли сделать такое видео? То-есть интересно было бы такое: например разработчик создает себе окружение 1.test.by, 2.test.by, 3.test.by - любой субдомен, и на него подтягивался бы сертификат)
Привет! Можно использовать CNAME также, так как мы использовали NLB, у него публичные IP адреса статические(к тому же для NLB можно использовать EIPs), поэтому создал A records в external DNS провайдере (в AWS Route53, к примеру, можно создать ALIAS records для NLB, поэтому лучше использовать ALIAS records, где возможно).” По поводу CNAME: A CNAME record points a DNS name (such as www.example.com) to another DNS name (such as lb.example.net). This introduces a performance penalty since at least one additional DNS lookup must be performed to resolve the target (lb.example.net)”. Но CNAME также можно использовать, все зависит от use case.
Антон, день добрый. Возможно, я задам глупый вопрос, так как пока каша в голове, но, когда серт-менеджер создает два временных ингресс контроллера (для проверки того, что домен принадлежит нам), то разве у них не должно быть конфликта с main-ingress за обработку запросов приходящих с лоад-балансера и как вообще ЛБ понимает на какой игрес контроллер передать http-запрос? Спасибо.
я новичок в кубере, да ещё и ранчер поднимаю и пришлось долго ковыряться, но таки всё запустилось. помогите определиться с непонятками по-братски 1. я так понимаю создавать дополнительно certificate.yml - это ручной труд и какую цель это преследует? 2. где хранится сам сертификат и ключ в кластере и как я могу их почитать/редактировать? 3. при создании clusterIssuer, в ранчер я могу прочитать, что сертификат доступен для одного namespace в котором у меня был workload. как я могу убедиться, что всё работает как надо? сорян, если что за бараньи вопросы
А возможно ли таким способом выдать сертификаты на внутренний айпи, который не выходит в интернет (но не на localhost). Я так понял из видео, что нельзя, потому что центр сертификации проверяет подлинность (cert manager же создал поды, которые подлинность dns записей чекает), однако есть же способы организации сертификатов lets encrypt на айпи адреса, которые не выходят в интернет. Может быть есть какой-то способ обходной? Или тогда просто не использовать cert manager? Тогда получается остаётся только использовать самоподписанные сертификаты и всё? PS. - к вопросу зачем мне вообще нужна настройка https, если у меня домашний сервер - работаю над дипломным проектом, но не стал пока покупать статик айпи и dns у провайдера, а реализовать схему автоматической выдачи сертификатов хочется...
@@BAKAVETS Спасибо большое, да. Полистал комментарии и тоже нашёл этот способ. Здорово, что отвечать всем стараешься. Если бы у тебя были платные уроки, то думаю было бы много клиентов)) Всё-таки очень грамотно информацию доносишь.
Я админ а малой игровой студии, и вот сталкнулся с проблемой того что протухй сертификат, но я только только с озов начинаю учить k8s, cert-manager работатет и я проверял он в "run", может кто помочь или подсказать с данной проблемой. Зарание балгодарю.
@@BAKAVETS Речь о внутренней сети. Наружу не публикуется. А там опять внешний днс через API править. Получается либо колхозить что-то, либо какой-то ACME север искать и пытаться с ним научится работать. Почему-то непопулярная тема совсем. Хотя весь ентерпрайз должен бы этим пользоваться.
Для того чтобы настроить https для kubernetes необходим доступ к Ingress в Kubernetes из вне, те endpoint(доступный через Ingress), который создаётся для валидации домена должен быть доступен из интернета, а Minikube создаётся локально и достучаться до Ingress в Minikube через интернет по умолчанию нельзя, могу предположить, что теоретически это возможно, но требуются дополнительные манипуляции, на практике же лично не делал .
@@volodymyrandryeyev2028 Да, должен работать. kubernetes.io/docs/concepts/services-networking/ingress/#tls, но перед тем как покупать, проверьте через самоподписанный сертификат.
Ооочень быстро говорите и все делаете, приходится скорость занижать воспроизведения, и постоянно возвращаться назад. Для новичка невозможно уследить за ходом мысли...
![Kubernetes, Ingress controller [2], установка и настройка, вариант с NodePort](/img/n.gif)
Постараюсь оставить под каждым видео по комментарию длиной больше 7 слoв, чтобы ютуб начал наконец тебя поднимать в поиске. Спасибо за твоё время и знания)
Тоже удивился, что такой полезный контент и так мало лайков, а 3 года назад уже! Я разные варианты x-ui на VPS пробую ставить, вражеская народу власть заставляет просвещаться)) Вот поэтому и предложилось)
Автору респектище прям за подачу!)
Архи-классное объяснение! Закрыл пробелы в знаниях и понял процессы под капотом! Спасибо! 🤝
Ну просто просто просто просто просто ШИКАРНО! Огромное спасибо! Как раз это искал.
Блин, чувак, всегда этот cert-manager вызывал страх, а с твоим видео получилось все с первого раза! Спасибо
Видео огонь! спасибо большое за вашу работу. Единственный момент, который вызвал у меня трудность, как у новичка, это установка nginx ingress'a. В видео вы просто копируете одну ссылку и устанавливаете, а на сайте у них какая-то бесконечная инструкция, в которой я потерялся. Не исключаю, то нехватает опыта.
Ещё раз спасибо!
Большое спасибо за подачу! А то сейчас на волне необходимости недетектируемых VPN и покупки своих серверов, много стало неграмотных, а то и не знающих лезть в просветители, нейронками подготовят что-нить, а объяснить толком не могут))
Очень круто, очень подробно и понятно, спасибо большое за труд.
Чувак, ты молодец! Продолжай, у тебя отлично получается рассказывать!
огромное спасибо, супер полезный материал!
от девопса девопсу.
Работаю в интерпрайзе, основная идея была разобраться в кубере до такого же понимания устройства его компонентов, но увы на практике это все редко где нужно так глубоко знать. Если говорить про всякие там зеленые или синие компании, то там большая часть работ автоматизирована или органичена. Однако я бы хотел сохранить серию этих видео, крайне полезная вещь, могу обменять диски на хороший виски :)
Топ контент, молодец
Не часто что-то комментирую на ютубе, но сейчас исключение
Огромнейшее спасибо за актуальный тутор по le, а то всё что находил было на версии ниже первой, и сейчас не работает/работает через раз
Лучшее видео на эту тему.
Спасибо!
весьма исчерпывающе, спасибо.
охренеть, насколько это всё быстро и просто в кубернетес! респект за уроки!
Спасибо огромное! очень доходчиво, всё понятно.
У меня один вопрос, может, Вы сталкивались с таким, если "да", то как решали?
У меня прод не доступен из публичного инета без ВПН. т.е. чтобы было доступно приложение, нужно сначала подключиться к ВПН. Соответственно, валидация доменного имени не проходит, ведь, как я понимаю, запрос идёт по доменного имени откуда-то с сервера let's encrypt(естественно, они не могут никак подлючиться к нашему ВПН)
Сейчас сертификат руками перевыпускать, и "подсовывать" его в ингресс.
Для этого можете использовать dns challenge.
th-cam.com/video/KM6qPVdWz2s/w-d-xo.html
спасибо!
Привет спасибо за видео хотел тебя спросить в ClusterIssuer ты указываешь любой рабочий почтовый ящик как понимаю, или желательно нужен почтовый ящик самого домена для которого выпускается сертификат как некоторые виды ssl сертификатов требуют?
Привет! Можно указать любой рабочий email.
@@BAKAVETS Обязательно ли нужен loadbalancer чтобы получить сертификат? И если нужен как правильно его настроить для получения сертификата, если у меня kuber развернут на Centos на сервере у обычного хостинг провайдера ?
@@sammygun84 для HTTP01 challenge нужен доступ из интернетa, не обязательно LB.
Есть другой вариант без внешнего доступа.
DNS01 Challenge: th-cam.com/video/KM6qPVdWz2s/w-d-xo.html
Спасибо за видео очень помогает, есть вопрос для этого урока каким способом был поднять k8s на aws ? через terraform (как в 3м уроке ) или через eksctl (как в 2м уроке)? А то у меня не появляется внешний ip после установки ingress
Приветствую! Поднимал через terraform. Какой способ установки использовали для ingress-nginx?
Привет, интересно было бы посмотреть по wildcard certificates от let's encrypt, может есть мысли сделать такое видео? То-есть интересно было бы такое: например разработчик создает себе окружение 1.test.by, 2.test.by, 3.test.by - любой субдомен, и на него подтягивался бы сертификат)
Привет! В планах было сделать такое видео.
@@BAKAVETS давай ждем
Привет. Интересное видео! Спасибо!
А почему не использовали CNAME на имя лоадбалансера?
Привет!
Можно использовать CNAME также, так как мы использовали NLB, у него публичные IP адреса статические(к тому же для NLB можно использовать EIPs), поэтому создал A records в external DNS провайдере (в AWS Route53, к примеру, можно создать ALIAS records для NLB, поэтому лучше использовать ALIAS records, где возможно).”
По поводу CNAME:
A CNAME record points a DNS name (such as www.example.com) to another DNS name (such as lb.example.net). This introduces a performance penalty since at least one additional DNS lookup must be performed to resolve the target (lb.example.net)”.
Но CNAME также можно использовать, все зависит от use case.
Антон, день добрый.
Возможно, я задам глупый вопрос, так как пока каша в голове, но, когда серт-менеджер создает два временных ингресс контроллера (для проверки того, что домен принадлежит нам), то разве у них не должно быть конфликта с main-ingress за обработку запросов приходящих с лоад-балансера и как вообще ЛБ понимает на какой игрес контроллер передать http-запрос?
Спасибо.
отличный вопрос. если нашли ответ, то дайте, пожалуйста, знать
обязательно предварительно покупать домен или можно использовать рандомный(бесплатный)?
А куда ты устанавливаешь cert, на мастер ?
Вам нужен доступ к управлению доменом, чтобы создать нужные записи. Поэтому нужно купить домен.
я новичок в кубере, да ещё и ранчер поднимаю и пришлось долго ковыряться, но таки всё запустилось. помогите определиться с непонятками по-братски
1. я так понимаю создавать дополнительно certificate.yml - это ручной труд и какую цель это преследует?
2. где хранится сам сертификат и ключ в кластере и как я могу их почитать/редактировать?
3. при создании clusterIssuer, в ранчер я могу прочитать, что сертификат доступен для одного namespace в котором у меня был workload. как я могу убедиться, что всё работает как надо?
сорян, если что за бараньи вопросы
Cпасибо, немного не понял, какая то джоба есть , что проверяет истечение срока?
Привет! В namespace: cert-manager есть deployment: cert-manager, который и контролирует этот процесс.
А возможно ли таким способом выдать сертификаты на внутренний айпи, который не выходит в интернет (но не на localhost). Я так понял из видео, что нельзя, потому что центр сертификации проверяет подлинность (cert manager же создал поды, которые подлинность dns записей чекает), однако есть же способы организации сертификатов lets encrypt на айпи адреса, которые не выходят в интернет. Может быть есть какой-то способ обходной? Или тогда просто не использовать cert manager? Тогда получается остаётся только использовать самоподписанные сертификаты и всё?
PS. - к вопросу зачем мне вообще нужна настройка https, если у меня домашний сервер - работаю над дипломным проектом, но не стал пока покупать статик айпи и dns у провайдера, а реализовать схему автоматической выдачи сертификатов хочется...
Есть еще один способ реализации через dns challenge: th-cam.com/video/KM6qPVdWz2s/w-d-xo.html
@@BAKAVETS Спасибо большое, да. Полистал комментарии и тоже нашёл этот способ. Здорово, что отвечать всем стараешься. Если бы у тебя были платные уроки, то думаю было бы много клиентов)) Всё-таки очень грамотно информацию доносишь.
Я админ а малой игровой студии, и вот сталкнулся с проблемой того что протухй сертификат, но я только только с озов начинаю учить k8s, cert-manager работатет и я проверял он в "run", может кто помочь или подсказать с данной проблемой. Зарание балгодарю.
Сразу скажу у нас нет DevOps специалиста, и все возложили на меня.
Все пишут про Let'sEncrypt. Но без публикации наружу с ним работать нельзя. Как в таком случае быть?
Можно использовать DNS01 Challenge Provider: cert-manager.io/docs/configuration/acme/dns01/
@@BAKAVETS Речь о внутренней сети. Наружу не публикуется. А там опять внешний днс через API править. Получается либо колхозить что-то, либо какой-то ACME север искать и пытаться с ним научится работать. Почему-то непопулярная тема совсем. Хотя весь ентерпрайз должен бы этим пользоваться.
Подскажите пожалуйста, возможно ли работать локально в minikube с зелёной строкой https?
Для того чтобы настроить https для kubernetes необходим доступ к Ingress в Kubernetes из вне, те endpoint(доступный через Ingress), который создаётся для валидации домена должен быть доступен из интернета, а Minikube создаётся локально и достучаться до Ingress в Minikube через интернет по умолчанию нельзя, могу предположить, что теоретически это возможно, но требуются дополнительные манипуляции, на практике же лично не делал .
@@BAKAVETS Как Вы думаете, если купить Comodo wildcard SSL сертификат и поставить его через secret он будет работать?
@@volodymyrandryeyev2028 Да, должен работать. kubernetes.io/docs/concepts/services-networking/ingress/#tls, но перед тем как покупать, проверьте через самоподписанный сертификат.
Почему ты lens не используешь
Привет! Использую) Не в этом видео)
secretName параметр не затронул(
у меня на него ингрес ругаеться
Ingress и Secret находится в одном namespace?
как его задеплоить?
или он сам деплоиться вместе с cert manager?
Ну слишком быстро, не успеваю уловить мысль...
В более новых роликах, старался это исправить.
@@BAKAVETS спасибо. Буду смотреть все уроки, очень полезная и доходчивая подача, на самом деле. Подписался.
Ооочень быстро говорите и все делаете, приходится скорость занижать воспроизведения, и постоянно возвращаться назад. Для новичка невозможно уследить за ходом мысли...
Александр, спасибо за обратную связь!
@@BAKAVETS а так уроки крутые, со многим смог разобраться благодаря вам. Спасибо