Wpis z mikrobloga

@tyu38: IPVS mode?

w taki sposób aby każdy z nich miał swój indywidualny adres IP.

@tyu38: Ruch wychodzi z jednego adresu a ty chcesz automagicznie zrobic, zeby kazdy kontener mial swoj wlasny IP widoczny na zewnatrz?

@tyu38: A ok, myslalem, ze nie ogarniasz, ze jak masz jeden zew adres to nagle ich nie rozmnożysz. Nie korzystan z kuber, w tej sytuacji dostrzegam wieksza wartosc w surowych kontenerach lxc albo full virt.

@tyu38: kolego, z poda ruch wychodzi z adresem IP poda. Dopiero plugin sieciowy natuje ci go, już w namespace sieciowym noda. Użyj kubenet zamiast pluginu sieciowego którego używasz teraz, zestaw routing między interfejsem cbr0 między nodami żeby wgl klaster działał i nie będziesz miał żadnego natowania, a pod jak będzie wysyłał coś na zewnątrz to w source ip pakietu będziesz miał dokładnie IP poda. Dalej zrobisz z tym co chcesz.

@tyu38: niestety, network policy jest implementowane przez plugin sieciowy, a kubenet to dokładnie bardzo prosty plugin sieciowy który robi tyle, ze dopina veth do cbr0 (to klasyczny linuksowy bridge). W tym wypadku samemu musiałbyś zadbać i zaimplementować rozwiązanie które zaktualizuje Ci firewall w systemie zgodnie z network policy (to dosyć proste) i zrobi snat na określony adres IP z podow które oczekujesz. Nie musisz przydzielać stałego IP dla podow, boPokaż całość

@tyu38: zastanawiam się jeszcze nas twoim problemem. Rozumiem ze potrzebujesz znać IP poda, ponieważ po drugiej stronie masz acl i musisz wiedzieć co wpuścić?

@tyu38: to prawda, z k8s na własnej infrze ciężko trochę. GKE ma egress gateway który to potrafi. Mimo wszystko siła k8s to jego serwer api. Co do fw, Ty nie musisz ręcznie zarządzać firewalem w tym scenariuszu, tylko zrobić zapytanie do api i wygenerować reguły. Trochę to druciarnia, ale ogólnie k8s na swoim metalu to druciarnia. Masz gołego k8s, docker ee, czy openshifta?