Где NATятся адреса в кубернетесе?

Question

[Gorn]

Допустим такая схема:
интернет -> LB -> Ingress Controller -> Service -> Pod
интернет <- LB <- Ingress Controller <- Service <- Pod

Где(какая сущность наиболее ответственна за это) публичные адреса меняются на приватные и обратно?
Service(ну не то чтобы прям Service) меняет адрес Pod (отправителя)?

Answer 1

[Alexey Dmitriev]

В iptables на нодах, под управлением kube-proxy

Answer 2

[Gorn]

В таком предположении вы видите ошибку?

LB
dst: public_ip -> dst_ingress_controller_ip

src: public_lb_ip <- ingress_controller_ip

Ingress Controller
dst: ingress_controller_ip -> service_ip
src: public_ip -> ingress-controller_ip

dst: public_ip <- ingress_controller_ip
src: ingress-controller_ip <- pod_ip

Service(kube-proxy)
dst: service_ip -> pod_ip

И как это сосуществует с NGW, IGW, networks, VPC, route_table(aws)?

Объёмный вопрос получился, но не нашёл где это почитать или посмотреть.