Cómo configurar el servicio Denegar IPS externos en Kubernetes

José Luis Villagómez
Cómo configurar el servicio Denegar IPS externos en Kubernetes

Puede encontrar un problema al configurar un clúster de Kubernetes cuando solo sabe cómo usar Nodeport para que su servicio Kubernetes sea accesible a través de Internet. Al emplear el tipo de servicio Nodeport, se asignará un número de puerto alto y debe permitir las conexiones a esos puertos en su regla de firewall. Es perjudicial para su infraestructura, particularmente si el servidor es accesible a través de Internet abierto. Puede asignar un bloque de direcciones IP fuera del clúster como administrador de clúster que puede transmitir el tráfico a los servicios allí. Esto es exactamente de lo que vamos a hablar en este artículo: para encontrar toda la información crítica sobre cómo configurar el servicio Denegar IP externos en Kubernetes.

¿Qué es el servicio IP externo??

Uno de los puntos finales del servicio recibirá tráfico que ingresa al clúster utilizando la IP externa (como la IP de destino) y el puerto de servicio. Kubernetes no es responsable de administrar IP externo.

Asegurarse de que se utilice la IP para acceder al clúster Kubernetes es crucial en esta situación. Usando el tipo de servicio IP externo, podemos unir el servicio a la dirección IP que se utiliza para acceder al clúster.

El hecho de que la red Kubernetes interactúe con la red superpuesta es importante para comprender esta situación. Esto implica que puede acceder prácticamente a todos los nodos en el clúster una vez que llegue a cualquiera de los nodos (nodo maestro o trabajador).

La red se muestra de esta manera:


Ambos nodos 1 y 2 en el diagrama comparten una sola dirección IP. El verdadero pod vive en el nodo 1 pero la dirección IP 1.2.3.6 está vinculado al servicio nginx en el nodo 1. Dirección IP del nodo 1, 1.2.3.4, está vinculado al servicio HTTPD, y el POD real del nodo 2 se encuentra allí.

Esto es posible gracias a los fundamentos de la red superpuesta. Cuando rizamos la dirección IP 1.2.3.4, el servicio HTTPD debe responder; Cuando nos curvamos 1.2.3.5, el servicio nginx debe responder.

Ventajoso y desventajas de la IP externa

Estas son las ventajas y desventajas de la IP externa:

Es ventajoso usar IP externo porque:

    • Su IP está completamente dentro de su control. En lugar de usar el ASN del proveedor de la nube, puede utilizar IP que pertenece a su propio ASN.

Los inconvenientes de la IP externa incluyen lo siguiente:

    • La configuración directa que pasaremos en este momento no está disponible muy fácilmente. Esto implica que si el nodo falla, el servicio ya no será accesible y tendrá que solucionar el problema manualmente.
    • Para manejar el IPS, se requiere un parto humano considerable. Dado que los IP no están asignados dinámicamente para ti, debes hacerlo manualmente.

¿Qué es predeterminado Denegar/permitir el comportamiento??

El "Permitir predeterminado"denota que todo el tráfico está permitido por defecto. A menos que se permita específicamente, todo el tráfico se rechaza de forma predeterminada cuando se usa el término "predeterminado negar."Excepto cuando se especifica una política de red.

    • Se permite todo el tráfico hacia y desde una cápsula si no hay políticas de red en vigor para esa cápsula.
    • Si una o más políticas de red están en vigor para una cápsula de entrada de tipo, solo que el tráfico de ingreso está explícitamente permitido por esas políticas está permitido.
    • Cuando una o más políticas de red se aplican a una cápsula de tipo de salida de tipo, solo se permite el tráfico de salida permitido por esas políticas.

La configuración predeterminada para otros tipos de punto final (VMS, interfaces de host) es bloquear el tráfico. Solo está permitido el tráfico que está específicamente permitido por la política de red, incluso si no se aplican políticas de red al punto final.

Mejor práctica: Política implícita de negación predeterminada

Debe configurar una política de negar predeterminada implícita creada para sus pods Kubernetes. Esto asegura que el tráfico no deseado se bloquee automáticamente. Recuerde que el incumplimiento implícito niega las políticas siempre entran en vigencia al final; Si alguna otra política permite el tráfico, la negación no se aplica. La negación solo se implementa después de que se hayan considerado todas las otras políticas.

Cómo crear una política predeterminada de NEGNIES para los pods de Kubernetes?

Aconsejamos utilizar la política de red global, incluso si alguna de las siguientes reglas se puede utilizar para construir una política predeterminada de Negles para Kubernetes PODS. Se aplica una política de red global a todas las cargas de trabajo (máquinas virtuales y contenedores) en todos los espacios de nombres y hosts. Una política de red global fomenta un enfoque cauteloso de la seguridad mientras defiende los recursos.

    • Habilitar el valor predeterminado para negar la política de red global, no abastecido
    • Habilitar predeterminado para negar la política de red, con el espacio de nombres
    • Habilitar predeterminado para negar la política de Kubernetes, espacio de nombres

¿Qué es el bloque IP??

Con esto, los rangos IP CIDR específicos se eligen para ser permitidos como fuentes de entrada o destinos de salida. Dado que los IP de POD son transitorios e impredecibles, estos deberían ser IP de clúster.

La IP de origen o destino de los paquetes debe reescribirse con frecuencia al usar la entrada del clúster y los métodos de salida. Dependiendo del complemento de red particular (proveedor de servicios en la nube, implementación del servicio, etc.) que se utiliza, el comportamiento puede cambiar.

Esto es cierto para la entrada y significa que en algunos casos debe filtrar paquetes entrantes que se basan en la IP de origen real. Por otro lado, la "IP de origen" en la que funciona NetworkPolicy puede ser la IP de un Bobalancer o incluso el nodo del Pod, etc.

Esto muestra que las conexiones entre las cápsulas y las IP del servicio que se reescriben a IPS de clúster-external podrían estar sujetas a restricciones basadas en IPBlock en términos de salida.

¿Cuáles son las políticas predeterminadas??

Todo el tráfico de ingreso y salida hacia y desde las vainas en un espacio de nombres está, por defecto, permitido si no hay controles para ese espacio de nombres. Puede alterar el comportamiento predeterminado del espacio de nombres utilizando los siguientes ejemplos.

Predeterminado niega todo el tráfico de entrada

Al crear una política de red que elija todas las cápsulas pero que no incluya ningún tráfico entrante a esos POD, puede construir una política de aislamiento de ingreso "predeterminado" y es para un espacio de nombres.


Esto asegura que todas las cápsulas, independientemente de si alguna otra networkpolicy los elige, se aislen para la entrada. Esta regla no se aplica al aislamiento para salir de un pod.

Predeterminado niega todo el tráfico de salida

Cuando crea una potencia de red que elige todas las cápsulas pero prohíbe el tráfico de salida de esos pods, puede construir una política de aislamiento de salida "predeterminada" y que también es para un espacio de nombres.

Conclusión

Esta guía tenía que ver con el uso de DenyServiceExternalips. También hemos diseñado una representación diagramática para que nuestros usuarios entiendan que está funcionando. También hemos proporcionado configuraciones de muestra.

html
Cómo usar la propiedad MouseEvent Pagey?
La propiedad Pagey obtiene la coordenada del cursor en el movimiento del mouse sobre el elemento sel...
Salvador Anaya
php
Cómo usar expresiones regulares en PHP
Preg_match (), preg_replace (), preg_split () y preg_quote (), proporcionan una gama de capacidades ...
Beatriz Enríquez
AWS
Cómo usar el ciclo de vida de instancias en AWS?
El ciclo de vida de la instancia contiene muchos estados que muestran su comportamiento. Se puede us...
José Luis Villagómez
Pitón
Grupo pandas por cuantile
Carolina Guzmán
Pitón
Python Counted en la lista
Mayte Mesa
Pitón
Matplotlib Text en negrita
Pilar Melgar
Pitón
Python encuentra el índice de todos los sucesos en una lista
Pilar Alemán
Pitón
Etiquetas del eje marino
Andrés Barrientos
Pitón
Matplotlib 2d histograma
Beatriz Enríquez
Estibador
¿Cuál es la diferencia entre Docker y Podman??
Mariana Cotto
Comandos de Linux
Cómo instalar la versión de CUDA en Linux
José Luis Villagómez
Ubuntu
Cómo instalar CUDA en Ubuntu Top 10.Top 10 LTS
Salvador Anaya
php
Cómo buscar la lista de zonas horarias de PHP
Salvador Anaya