Cursed homelab update:

Cleaning up:

I've redistributed my VMs between the servers (Libvirt's migration feature is magic when it works) and given them zram swap devices instead of local virtual disks and upgraded Cilium to 1.18.

And I think Kubernetes is slightly more stable.

The issue I have is system pods (controller-manager, apiserver, scheduler and cilium-operator) frequently restarting on all three servers and this causing various other bits of that infrastructure to "panic", which causes server #3 to spin it's fans up for a moment.

(By "panic" I mean they have to quickly compensate)

The short theory of this is that servers #1 and #2 are overloaded enough that important parts of Kubernetes get stuck just enough that timeouts are frequent, and that entire stack seems unable to retry timed out requests, so things can't do The Thing, and crash.

(Sidebar: there's two schools of thought on error handling: recover from errors vs crash on errors. Option 1 needs extensive error handling code to keep itself up when errors happen. Option 2 requires that things are small and quickly restartable. I advocate for something in the middle and choosing whether and how to handle errors based on the type and severity of them)

So the plan was simple: move the heaviest VM from server #1 to #3, move one of the lighter VMs from server #2 to #1 and hopefully things will calm down.

They did and that heavy VM is running faster. But Kubernetes still isn't happy.

On the suspicion that this might be a networking issue, I upgraded Cilium (which I've been putting off for a while) and it now seems to be slightly calmer, though I want to see last restart times over 1 hour across the board before I call this "fixed".

#homelab #kubernetes #cilium #cursedhomelab

[Перевод] Kubernetes Gateway API в 2026 году: сравниваем Envoy Gateway, Istio, Cilium, Kong и NGINX Gateway Fabric

Сейчас ландшафт сетей Kubernetes переживает самую значительную трансформацию со времен появления Ingress API в 2015 году. Gateway API прошел путь от бета-версии до General Availability и продолжает развиваться: к 2026 году — версия 1.4. Это фундаментальная переархитектура того, как трафик моделируется, управляется и защищается в Cloud-Native-окружениях. Это руководство — исчерпывающий анализ экосистемы вокруг этого стандарта: разбираем архитектурные подходы, характеристики производительности и наборы функций ведущих реализаций. Наше исследование показывает: стандарт Gateway API успешно унифицировал базовый интерфейс конфигурации, заменив фрагментированную аннотационную модель Ingress, — но нижележащие реализации демонстрируют глубокие расхождения в производительности и операционном поведении. Команда VK Cloud перевела статью для тех, кто уже несколько лет живет с зоопарком Ingress-аннотаций под NGINX, Traefik и ALB и сейчас выбирает, на что мигрировать. Автор разбирает Gateway API в его нынешнем состоянии (версия 1.4, GA), сравнивает пять Production-Ready-реализаций — Envoy Gateway, Istio в Ambient Mode, Cilium, Kong и NGINX Gateway Fabric — и дает фреймворк выбора под конкретный профиль нагрузки. Никакого маркетинга и «лучшего решения для всех»: цифры по Latency и CPU, архитектурные компромиссы, явные пределы масштабирования каждой модели.

https://habr.com/ru/companies/vktech/articles/1042710/

#vk_cloud #kubernetes #gateway_api #envoy #istio #cilium #kong #nginx #service_mesh #ebpf

[Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной экосистеме. Поэтому подход проекта к безопасности CI/CD интересен не только мейнтейнерам других опенсорс-проектов: те же паттерны полезны любой команде, которая собирает прод-артефакты в GitHub Actions. Команда VK Cloud перевела статью с конкретными YAML-конфигами, дизайн-решениями и честным списком того, что у Cilium пока не сделано.

https://habr.com/ru/companies/vk/articles/1040540/

#vk_cloud #github_actions #supply_chain #devsecops #cilium #kubernetes #sigstore #slsa #sbom #безопасность

6 Stunden später: die subtilen Errors im Kubernetes Log und random Pods, die wegen Timeouts wegsterben, haben eine Ursache: Duplicated Node PodCIDRs.

6 Server hatten jeweils 2 identische Subnetze. Schon lustig, wenn man eine IP pingt, den Server mit der IP runter fährt, und trotzdem ein ICMP Reply bekommt.

Ich hab zwar noch keinen Schimmer, warum Cilium aus dem IP-Pool Blöcke doppelt vergeben hat, aber die IP Allocations sehen nun alle wieder ordentlich aus.

#kubernetes #cilium