Vous pouvez rencontrer un problème lors de la configuration d'un cluster Kubernetes lorsque vous ne savez utiliser NodePort que pour rendre votre service Kubernetes accessible sur Internet. Lorsque vous utilisez le type de service NodePort, un numéro de port élevé sera attribué et vous devez autoriser les connexions à ces ports dans votre règle de pare-feu. Cela nuit à votre infrastructure, en particulier si le serveur est accessible via l'Internet ouvert. Vous pouvez attribuer un bloc d'adresses IP en dehors du cluster en tant qu'administrateur de cluster qui peut y transmettre le trafic aux services. C'est exactement ce dont nous allons parler dans cet article : pour trouver toutes les informations critiques sur la façon de configurer les adresses IP externes de refus de service dans Kubernetes.
Qu'est-ce qu'un service IP externe ?
L'un des points de terminaison de service recevra le trafic qui entre dans le cluster à l'aide de l'adresse IP externe (en tant qu'adresse IP de destination) et du port de service. Kubernetes n'est pas responsable de la gestion de l'IP externe.
S'assurer quelle adresse IP est utilisée pour accéder au cluster Kubernetes est crucial dans cette situation. En utilisant le type de service IP externe, nous pouvons lier le service à l'adresse IP utilisée pour accéder au cluster.
Le fait que le réseau Kubernetes interagisse avec le réseau Overlay est important pour comprendre cette situation. Cela implique que vous pouvez accéder à pratiquement tous les nœuds du cluster une fois que vous avez atteint l'un des nœuds (maître ou nœud de travail).
Le réseau est représenté de cette façon :
Les nœuds 1 et 2 du diagramme partagent une même adresse IP. Le vrai pod vit sur le nœud 1 mais l'adresse IP 1.2.3.6 est liée au service Nginx sur le nœud 1. L'adresse IP du nœud 1, 1.2.3.4, est liée au service httpd, et le pod réel du nœud 2 s'y trouve.
Ceci est rendu possible par les fondements du réseau Overlay. Lorsque nous curlons l'adresse IP 1.2.3.4, le service httpd devrait répondre ; lorsque nous curl 1.2.3.5, le service Nginx devrait répondre.
Avantages et inconvénients de l'IP externe
Voici les avantages et les inconvénients de l'IP externe :
Il est avantageux d'utiliser une IP externe car :
-
- Votre adresse IP est entièrement sous votre contrôle. Au lieu d'utiliser l'ASN du fournisseur de cloud, vous pouvez utiliser une adresse IP appartenant à votre propre ASN.
Les inconvénients de l'IP externe incluent les éléments suivants :
-
- La configuration simple que nous allons suivre en ce moment n'est PAS très facilement disponible. Cela implique que si le nœud échoue, le service ne sera plus accessible et vous devrez résoudre le problème manuellement.
- Pour manipuler les PI, un travail humain considérable est nécessaire. Étant donné que les adresses IP ne vous sont pas allouées dynamiquement, vous devez le faire manuellement.
Qu'est-ce que le comportement de refus/autorisation par défaut ?
Les ' Autorisation par défaut ” indique que tout le trafic est autorisé par défaut. Sauf autorisation spécifique, tout trafic est refusé par défaut lors de l'utilisation du terme ' refuser par défaut .” sauf lorsqu'une stratégie réseau est spécifiée.
-
- Tout le trafic vers et depuis un pod est autorisé si aucune politique réseau n'est en vigueur pour ce pod.
- Si une ou plusieurs stratégies réseau sont en vigueur pour un pod de type entrée, seul le trafic entrant explicitement autorisé par ces stratégies est autorisé.
- Lorsqu'une ou plusieurs stratégies réseau s'appliquent à un pod de type sortie, seul le trafic de sortie autorisé par ces stratégies est autorisé.
Le paramètre par défaut pour les autres types de points de terminaison (VM, interfaces hôtes) est de bloquer le trafic. Seul le trafic spécifiquement autorisé par la stratégie réseau est autorisé, même si aucune stratégie réseau ne s'applique au point de terminaison.
Meilleure pratique : politique de refus implicite par défaut
Vous devez configurer une stratégie de refus par défaut implicite créée pour vos pods Kubernetes. Cela garantit que le trafic indésirable est automatiquement bloqué. N'oubliez pas que les politiques de refus implicites par défaut entrent toujours en vigueur en dernier ; si d'autres politiques autorisent le trafic, le refus ne s'applique pas. Le refus n'est mis en œuvre qu'après que toutes les autres politiques ont été prises en compte.
Comment créer une politique de refus par défaut pour les pods Kubernetes ?
Nous vous conseillons d'utiliser la politique de réseau globale même si l'une des règles suivantes peut être utilisée pour construire une politique de refus par défaut pour les pods Kubernetes. Une stratégie réseau globale est appliquée à toutes les charges de travail (VM et conteneurs) sur tous les espaces de noms et hôtes. Une politique de réseau global encourage une approche prudente de la sécurité tout en protégeant les ressources.
-
- Activer par défaut pour refuser la stratégie réseau globale, sans espace de noms
- Activer par défaut pour refuser la politique réseau, espace de noms
- Activer par défaut pour refuser la politique Kubernetes, espace de noms
Qu'est-ce que le blocage IP ?
Avec cela, des plages IP CIDR spécifiques sont choisies pour être autorisées comme sources d'entrée ou destinations de sortie. Étant donné que les adresses IP de pod sont transitoires et imprévisibles, il doit s'agir d'adresses IP externes au cluster.
L'adresse IP source ou de destination des paquets doit fréquemment être réécrite lors de l'utilisation des méthodes d'entrée et de sortie du cluster. Selon le plug-in réseau particulier (fournisseur de services cloud, implémentation de service, etc.) utilisé, le comportement peut changer.
Cela est vrai pour l'entrée et cela signifie que dans certains cas, vous devez filtrer les paquets entrants basés sur l'adresse IP source réelle. D'autre part, 'l'IP source' sur laquelle fonctionne la NetworkPolicy peut être l'IP d'un LoadBalancer ou même le nœud du Pod, etc.
Cela montre que les connexions entre les pods et les adresses IP de service qui sont réécrites sur des adresses IP externes au cluster peuvent être soumises à des restrictions basées sur ipBlock en termes de sortie.
Quelles sont les politiques par défaut ?
Tout le trafic entrant et sortant vers et depuis les pods d'un espace de noms est, par défaut, autorisé s'il n'y a pas de contrôles en place pour cet espace de noms. Vous pouvez modifier le comportement par défaut de l'espace de noms en utilisant les exemples suivants.
Refuser tout trafic entrant par défaut
Lors de la création d'une stratégie réseau qui choisit tous les pods mais n'inclut aucun trafic entrant vers ces pods, vous pouvez créer une stratégie d'isolation d'entrée « par défaut » et cela pour un espace de noms.
Cela garantit que tous les pods, qu'un autre NetworkPolicy les choisisse ou non, sont isolés pour l'entrée. Cette règle ne s'applique pas à l'isolement pour quitter un pod.
Refuser tout le trafic de sortie par défaut
Lorsque vous créez une NetworkPolicy qui choisit tous les pods mais interdit le trafic sortant de ces pods, vous pouvez créer une politique d'isolation de sortie « par défaut » et cela s'applique également à un espace de noms.
Conclusion
Ce guide portait sur l'utilisation de DenyServiceExternalIPs. Nous avons également conçu une représentation schématique pour que nos utilisateurs comprennent que cela fonctionne. Nous avons également fourni des exemples de configurations.