Kubernetes egress static IP. Наиболее оптимальное решение?

Question

[web_dev]

Здравствуйте,

подскажите как вы решали данную проблему наиболее оптимально и элегантно?
Есть Kubernetes кластер, но котором бегают деплойменты, некоторые клиенты должны добавить наши айпишки в свой вайтлист, чтоб приложения могли делать запросы.
Так вот, с расширяемостю кластера, надо всё новые айпишки от наших новых нодов давать на вайтлистинг клиентам или деплоить на одних и тех же нодах.
Решение не оптимальное, поэтому нужно как-то закрепить айпишки. Сделать их или статическими или чтоб они выходили через один шлюз.

Инсталляция кубера стандартная с network provider Flannel. этот провайдер не имеет в себе такой фишки.
1. имеет такую штуку например calico. https://projectcalico.docs.tigera.io/networking/us...
2. также нашёл вот такой вот проект: https://github.com/nirmata/kube-static-egress-ip - кто-то пользовался им?

Ваши варианты?

Если это поможет, то хостимся в Hetzner-e.

Спасибо!

Comments

[Drno]

loadbalancer... или несколько. как раз будет 1-2 IP внешних

[web_dev]

Drno, ЛоадБалансеры есть, но исходящий(egress) трафик не контролируется ими. ЛоадБалансеры это точки входа.

Answer 1

[Макс]

надеюсь вопрос не протух
вижу 2 варианта решения
- Istio, у него есть прям EgressGateway. Нужно будет еще заправить трафик ваших целевых подиков в этот Egress, но это решаемо самим Истио. наверное чуть оверхэд, но зато тру кубер вей
- для укушенных ИБшниками. Я бы поостерегся кубер весь в интернет выставлять. А если так, то весь трафик от вашего кубера можно и нужно спрятать за нат(какая-то отдельностоящая тачка). На выходе все будут сидеть за этим 1 адресом. Можно поупороться и сделать это еще и отказоустойчиво.

Comments

[web_dev]

Макс Спасибо за ответ. Не очень протух. Я пробовал различные вещи.
И да, тоже пока остановился на Istio, начал настраивать, но пока перестал, так как появились более приоритетные задачи.

Касательно укушеных, я вас немного не понял. Тоемть понял о укушеных, но не понял о кубере и в интернете?
Есть классическах схема, лоадбалансеры переправляют трафик на nginx ну и он дальше раздаёт.
Но если делается исходящий egress запрос, то берётся айпи ноды. Собственно, Istio должен решить эту проблему.
Спасибо!

[Макс]

web_dev, если у вас воркеры в интернет смотрят не напряму, а сидят за натом - у них и так адрес будет у всех 1
но судя по вопросу у вас у всех воркеров свой паблик. Что на мой взгляд не очень то красиво