Как подключить приватную сеть фирмы через VPN в облачный Kubernates?
Всем привет!
Внимание! Вопрос не доступа к куберу, а наоборот - из кубера к другой сети, надежно, отказоустойчиво.
У нас есть:
- приватная сеть, закрывая извне
- настроенный openvpn
- Managed Kubernates в облаке без доступа в консоль виртуалок
Есть ли возможность как-то стабильно связать приватную сеть с кубером, чтобы я мог более менее просто получать доступ к портам машин внутри нее. Ssh туннель с пробросом портов не зашел - не удобно, ошметки какие-то остаются в консоли на серверах. Я думал, что может как-то поднять pod-ы с openvpn с пробросом портов?
Подскажите какие есть варианты?
UPD. Пока пришлось в каждом pod-е поднять openvpn клиент и получить в сеть пода все ресурсы приватной сети фирмы. Мне это не кажется лучшим вариантом, так как приходится держать коннекты vpn в кажом поде и это кажется излишним. Зато не надо никакие пробросы потров делать, так как в теории мне надо было бы прокинуть в кубер как локальные ресурсы около 20-30 портов с разных машин.
системный администратор, программист... все дела..
Если kubernetes опубликован на внешнем адресе, то можно использовать возможность port-forward утилиты kubectl. Далее легко лазить внутри кластера и щупать сервисы в нем, как будто они доступны напрямую.
В общем - для начала нужно ответить на вопрос ЗАЧЕМ НУЖЕН доступ в кластер - для разработчиков (ad-hoc задачи вроде тестирования, настройки) или чтобы обеспечить связность сервисов в кубернетесе и в офисной сети
Спасибо, я понял, что вопрос задан скорее некорректно - задаче не в кубер попасть, а из кубера в другу сеть, не устанавливая ничего на хосты кубера - т.е. только pod/service/ingress и т.д. настройки, т.е. что угодно, но чтобы не идти в консоль самих машин, на которых кубер развернут. Обновил описание проблемы
Тогда правильным ответом будет использование пиринга или vpn на уровне инфраструктуры облака. Единственным недостатком подобного решения может явиться цена. Т.к. облако возьмёт дополнительные деньги за подобную услугу. Ну, либо, как Вы сделали - загнать ВПН клиента. Но нужно это делать не в каждый под, а достаточно было бы выделить одного ВПН клиента на ноду. Кстати, не обязательно брать именно openvpn, а можно ipsec или wireguard.
Но, что интереснее, можно вообще обойтись без впна. Если адреса, с которых кластер выходит в интернет, фиксированные, то можно попросту опубликовать нужные сервисы в интернет и закрыть белым списком. Шифрование - на уровне прикладного протокола.
Не знаю. Вообще по идее указанная задача решается средствами именно сетевого плагина в кубернетес. Но при прочих равных я бы все-таки, как в начале написал, склонялся в сторону ВПН на уровне облака
Спасибо! "Но нужно это делать не в каждый под, а достаточно было бы выделить одного ВПН клиента на ноду" а подскажите плиз пример как это сделать? У меня естественно была такая мысль, но я просто не нашел, а это бы очень помогло
Простой
