Puede encontrar un problema al configurar un clúster de Kubernetes cuando solo sabe cómo usar Nodeport para que su servicio Kubernetes sea accesible a través de Internet. Al emplear el tipo de servicio Nodeport, se asignará un número de puerto alto y debe permitir las conexiones a esos puertos en su regla de firewall. Es perjudicial para su infraestructura, particularmente si el servidor es accesible a través de Internet abierto. Puede asignar un bloque de direcciones IP fuera del clúster como administrador de clúster que puede transmitir el tráfico a los servicios allí. Esto es exactamente de lo que vamos a hablar en este artículo: para encontrar toda la información crítica sobre cómo configurar el servicio Denegar IP externos en Kubernetes.
¿Qué es el servicio IP externo??
Uno de los puntos finales del servicio recibirá tráfico que ingresa al clúster utilizando la IP externa (como la IP de destino) y el puerto de servicio. Kubernetes no es responsable de administrar IP externo.
Asegurarse de que se utilice la IP para acceder al clúster Kubernetes es crucial en esta situación. Usando el tipo de servicio IP externo, podemos unir el servicio a la dirección IP que se utiliza para acceder al clúster.
El hecho de que la red Kubernetes interactúe con la red superpuesta es importante para comprender esta situación. Esto implica que puede acceder prácticamente a todos los nodos en el clúster una vez que llegue a cualquiera de los nodos (nodo maestro o trabajador).
La red se muestra de esta manera:
Ambos nodos 1 y 2 en el diagrama comparten una sola dirección IP. El verdadero pod vive en el nodo 1 pero la dirección IP 1.2.3.6 está vinculado al servicio nginx en el nodo 1. Dirección IP del nodo 1, 1.2.3.4, está vinculado al servicio HTTPD, y el POD real del nodo 2 se encuentra allí.
Esto es posible gracias a los fundamentos de la red superpuesta. Cuando rizamos la dirección IP 1.2.3.4, el servicio HTTPD debe responder; Cuando nos curvamos 1.2.3.5, el servicio nginx debe responder.
Ventajoso y desventajas de la IP externa
Estas son las ventajas y desventajas de la IP externa:
Es ventajoso usar IP externo porque:
Los inconvenientes de la IP externa incluyen lo siguiente:
¿Qué es predeterminado Denegar/permitir el comportamiento??
El "Permitir predeterminado"denota que todo el tráfico está permitido por defecto. A menos que se permita específicamente, todo el tráfico se rechaza de forma predeterminada cuando se usa el término "predeterminado negar."Excepto cuando se especifica una política de red.
La configuración predeterminada para otros tipos de punto final (VMS, interfaces de host) es bloquear el tráfico. Solo está permitido el tráfico que está específicamente permitido por la política de red, incluso si no se aplican políticas de red al punto final.
Mejor práctica: Política implícita de negación predeterminada
Debe configurar una política de negar predeterminada implícita creada para sus pods Kubernetes. Esto asegura que el tráfico no deseado se bloquee automáticamente. Recuerde que el incumplimiento implícito niega las políticas siempre entran en vigencia al final; Si alguna otra política permite el tráfico, la negación no se aplica. La negación solo se implementa después de que se hayan considerado todas las otras políticas.
Cómo crear una política predeterminada de NEGNIES para los pods de Kubernetes?
Aconsejamos utilizar la política de red global, incluso si alguna de las siguientes reglas se puede utilizar para construir una política predeterminada de Negles para Kubernetes PODS. Se aplica una política de red global a todas las cargas de trabajo (máquinas virtuales y contenedores) en todos los espacios de nombres y hosts. Una política de red global fomenta un enfoque cauteloso de la seguridad mientras defiende los recursos.
¿Qué es el bloque IP??
Con esto, los rangos IP CIDR específicos se eligen para ser permitidos como fuentes de entrada o destinos de salida. Dado que los IP de POD son transitorios e impredecibles, estos deberían ser IP de clúster.
La IP de origen o destino de los paquetes debe reescribirse con frecuencia al usar la entrada del clúster y los métodos de salida. Dependiendo del complemento de red particular (proveedor de servicios en la nube, implementación del servicio, etc.) que se utiliza, el comportamiento puede cambiar.
Esto es cierto para la entrada y significa que en algunos casos debe filtrar paquetes entrantes que se basan en la IP de origen real. Por otro lado, la "IP de origen" en la que funciona NetworkPolicy puede ser la IP de un Bobalancer o incluso el nodo del Pod, etc.
Esto muestra que las conexiones entre las cápsulas y las IP del servicio que se reescriben a IPS de clúster-external podrían estar sujetas a restricciones basadas en IPBlock en términos de salida.
¿Cuáles son las políticas predeterminadas??
Todo el tráfico de ingreso y salida hacia y desde las vainas en un espacio de nombres está, por defecto, permitido si no hay controles para ese espacio de nombres. Puede alterar el comportamiento predeterminado del espacio de nombres utilizando los siguientes ejemplos.
Predeterminado niega todo el tráfico de entrada
Al crear una política de red que elija todas las cápsulas pero que no incluya ningún tráfico entrante a esos POD, puede construir una política de aislamiento de ingreso "predeterminado" y es para un espacio de nombres.
Esto asegura que todas las cápsulas, independientemente de si alguna otra networkpolicy los elige, se aislen para la entrada. Esta regla no se aplica al aislamiento para salir de un pod.
Predeterminado niega todo el tráfico de salida
Cuando crea una potencia de red que elige todas las cápsulas pero prohíbe el tráfico de salida de esos pods, puede construir una política de aislamiento de salida "predeterminada" y que también es para un espacio de nombres.
Conclusión
Esta guía tenía que ver con el uso de DenyServiceExternalips. También hemos diseñado una representación diagramática para que nuestros usuarios entiendan que está funcionando. También hemos proporcionado configuraciones de muestra.