ఇంటర్నెట్లో మీ కుబెర్నెట్స్ సేవను అందుబాటులోకి తీసుకురావడానికి NodePortని ఎలా ఉపయోగించాలో మాత్రమే మీకు తెలిసినప్పుడు Kubernetes క్లస్టర్ని సెటప్ చేస్తున్నప్పుడు మీరు సమస్యను ఎదుర్కొంటారు. NodePort సర్వీస్ రకాన్ని ఉపయోగిస్తున్నప్పుడు, అధిక పోర్ట్ నంబర్ కేటాయించబడుతుంది మరియు మీరు మీ ఫైర్వాల్ నియమంలో ఆ పోర్ట్లకు కనెక్షన్లను తప్పనిసరిగా అనుమతించాలి. ఓపెన్ ఇంటర్నెట్ ద్వారా సర్వర్ యాక్సెస్ చేయగలిగితే ఇది మీ మౌలిక సదుపాయాలకు హానికరం. మీరు క్లస్టర్ వెలుపల IP చిరునామాల బ్లాక్ను క్లస్టర్ నిర్వాహకుడిగా కేటాయించవచ్చు, వారు అక్కడి సేవలకు ట్రాఫిక్ను ప్రసారం చేయవచ్చు. ఈ ఆర్టికల్లో మనం మాట్లాడబోయేది ఇదే: కుబెర్నెట్స్లో డినై సర్వీస్ ఎక్స్టర్నల్ IPలను ఎలా కాన్ఫిగర్ చేయాలనే దానిపై అన్ని క్లిష్టమైన సమాచారాన్ని కనుగొనడానికి.
బాహ్య IP సేవ అంటే ఏమిటి?
సర్వీస్ ఎండ్పాయింట్లలో ఒకటి బాహ్య IP (గమ్యం IP వలె) మరియు సర్వీస్ పోర్ట్ని ఉపయోగించి క్లస్టర్లోకి ప్రవేశించే ట్రాఫిక్ను అందుకుంటుంది. బాహ్య IP నిర్వహణకు Kubernetes బాధ్యత వహించదు.
ఈ పరిస్థితిలో Kubernetes క్లస్టర్ని యాక్సెస్ చేయడానికి ఏ IP ఉపయోగించబడుతుందో నిర్ధారించుకోవడం చాలా ముఖ్యం. బాహ్య IP సేవా రకాన్ని ఉపయోగించి, మేము క్లస్టర్ను యాక్సెస్ చేయడానికి ఉపయోగించే IP చిరునామాకు సేవను బంధించవచ్చు.
ఈ పరిస్థితిని అర్థం చేసుకోవడానికి కుబెర్నెట్స్ నెట్వర్క్ ఓవర్లే నెట్వర్క్తో సంకర్షణ చెందుతుందనే వాస్తవం చాలా ముఖ్యం. మీరు ఏదైనా నోడ్లను (మాస్టర్ లేదా వర్కర్ నోడ్) చేరుకున్న తర్వాత క్లస్టర్లోని ప్రతి నోడ్ను ఆచరణాత్మకంగా యాక్సెస్ చేయవచ్చని ఇది సూచిస్తుంది.
నెట్వర్క్ ఈ విధంగా చూపబడింది:
రేఖాచిత్రంలో నోడ్స్ 1 మరియు 2 రెండూ ఒకే IP చిరునామాను పంచుకుంటాయి. నిజమైన పాడ్ నోడ్ 1లో నివసిస్తుంది కానీ IP చిరునామా 1.2.3.6 నోడ్ 1లోని Nginx సేవకు కట్టుబడి ఉంటుంది. నోడ్ 1 యొక్క IP చిరునామా, 1.2.3.4, httpd సేవకు కట్టుబడి ఉంటుంది మరియు Node 2 యొక్క వాస్తవ Pod అక్కడ ఉంది.
ఓవర్లే నెట్వర్క్ అండర్పిన్నింగ్స్ ద్వారా ఇది సాధ్యమైంది. మేము IP చిరునామా 1.2.3.4ను కర్ల్ చేసినప్పుడు, httpd సేవ ప్రతిస్పందించాలి; మేము 1.2.3.5ని కర్ల్ చేసినప్పుడు, Nginx సేవ ప్రతిస్పందించాలి.
బాహ్య IP యొక్క ప్రయోజనాలు మరియు అప్రయోజనాలు
బాహ్య IP యొక్క ప్రయోజనాలు మరియు అప్రయోజనాలు ఇక్కడ ఉన్నాయి:
బాహ్య IPని ఉపయోగించడం ప్రయోజనకరం ఎందుకంటే:
-
- మీ IP పూర్తిగా మీ నియంత్రణలో ఉంటుంది. క్లౌడ్ ప్రొవైడర్ యొక్క ASNని ఉపయోగించకుండా, మీరు మీ స్వంత ASNకి చెందిన IPని ఉపయోగించవచ్చు.
బాహ్య IP యొక్క లోపాలు క్రింది వాటిని కలిగి ఉంటాయి:
-
- మేము ప్రస్తుతం చేయబోయే సూటి సెటప్ చాలా సులభంగా అందుబాటులో లేదు. నోడ్ విఫలమైతే, సేవ ఇకపై ప్రాప్యత చేయబడదు మరియు మీరు సమస్యను మాన్యువల్గా పరిష్కరించవలసి ఉంటుందని ఇది సూచిస్తుంది.
- IPలను నిర్వహించడానికి, గణనీయమైన మానవ శ్రమ అవసరం. IPలు మీ కోసం డైనమిక్గా కేటాయించబడనందున, మీరు దీన్ని మాన్యువల్గా చేయాలి.
డిఫాల్ట్ డినై/అనుమతి ప్రవర్తన అంటే ఏమిటి?
ది ' డిఫాల్ట్ అనుమతి ” అన్ని ట్రాఫిక్ డిఫాల్ట్గా అనుమతించబడిందని సూచిస్తుంది. ప్రత్యేకంగా అనుమతించకపోతే, '' అనే పదాన్ని ఉపయోగిస్తున్నప్పుడు అన్ని ట్రాఫిక్ డిఫాల్ట్గా తిరస్కరించబడుతుంది డిఫాల్ట్ తిరస్కరించడం .' నెట్వర్క్ విధానం పేర్కొనబడినప్పుడు తప్ప.
-
- పాడ్కు నెట్వర్క్ విధానాలు ఏవీ అమలులో లేకుంటే పాడ్కు మరియు బయటికి వచ్చే అన్ని ట్రాఫిక్లు అనుమతించబడతాయి.
- పాడ్ రకం ప్రవేశానికి ఒకటి లేదా అంతకంటే ఎక్కువ నెట్వర్క్ విధానాలు అమలులో ఉంటే, ఆ విధానాల ద్వారా స్పష్టంగా అనుమతించబడిన ప్రవేశ ట్రాఫిక్ మాత్రమే అనుమతించబడుతుంది.
- ఒకటి లేదా అంతకంటే ఎక్కువ నెట్వర్క్ విధానాలు టైప్ ఎగ్రెస్ పాడ్కి వర్తింపజేసినప్పుడు, ఆ పాలసీల ద్వారా అనుమతించబడిన ఎగ్రెస్ ట్రాఫిక్ మాత్రమే అనుమతించబడుతుంది.
ఇతర ఎండ్పాయింట్ రకాల (VMలు, హోస్ట్ ఇంటర్ఫేస్లు) కోసం డిఫాల్ట్ సెట్టింగ్ ట్రాఫిక్ను నిరోధించడం. ఎండ్పాయింట్కు నెట్వర్క్ విధానాలు వర్తించకపోయినా, నెట్వర్క్ విధానం ద్వారా ప్రత్యేకంగా అనుమతించబడిన ట్రాఫిక్ మాత్రమే అనుమతించబడుతుంది.
ఉత్తమ అభ్యాసం: అవ్యక్త డిఫాల్ట్ తిరస్కరణ విధానం
మీరు మీ కుబెర్నెటెస్ పాడ్ల కోసం సృష్టించబడిన అవ్యక్త డిఫాల్ట్ తిరస్కరణ విధానాన్ని తప్పనిసరిగా కాన్ఫిగర్ చేయాలి. ఇది అవాంఛిత ట్రాఫిక్ స్వయంచాలకంగా బ్లాక్ చేయబడిందని నిర్ధారిస్తుంది. అవ్యక్త డిఫాల్ట్ విధానాలు ఎల్లప్పుడూ చివరిగా అమలులోకి వస్తాయని గుర్తుంచుకోండి; ఏదైనా ఇతర విధానాలు ట్రాఫిక్ను అనుమతిస్తే, తిరస్కరణ వర్తించదు. అన్ని ఇతర విధానాలను పరిశీలించిన తర్వాత మాత్రమే తిరస్కరణ అమలు చేయబడుతుంది.
కుబెర్నెటెస్ పాడ్ల కోసం డిఫాల్ట్ నిరాకరణ విధానాన్ని ఎలా సృష్టించాలి?
కుబెర్నెటెస్ పాడ్ల కోసం డిఫాల్ట్ డినైస్ విధానాన్ని రూపొందించడానికి కింది నియమాలలో దేనినైనా ఉపయోగించగలిగినప్పటికీ గ్లోబల్ నెట్వర్క్ విధానాన్ని ఉపయోగించుకోవాలని మేము సలహా ఇస్తున్నాము. అన్ని నేమ్స్పేస్లు మరియు హోస్ట్లలోని అన్ని వర్క్లోడ్లకు (VMలు మరియు కంటైనర్లు) గ్లోబల్ నెట్వర్క్ విధానం వర్తించబడుతుంది. గ్లోబల్ నెట్వర్క్ పాలసీ వనరులను కాపాడుకునేటప్పుడు భద్రతకు జాగ్రత్తగా విధానాన్ని ప్రోత్సహిస్తుంది.
-
- నేమ్స్పేస్ లేని గ్లోబల్ నెట్వర్క్ విధానాన్ని తిరస్కరించడానికి డిఫాల్ట్ని ప్రారంభించండి
- నెట్వర్క్ విధానాన్ని తిరస్కరించడానికి డిఫాల్ట్ను ప్రారంభించండి, నేమ్స్పేస్ చేయబడింది
- Kubernetes విధానాన్ని తిరస్కరించడానికి డిఫాల్ట్ని ప్రారంభించండి, నేమ్స్పేస్ చేయబడింది
IP బ్లాక్ అంటే ఏమిటి?
దీనితో, నిర్దిష్ట IP CIDR పరిధులు ప్రవేశ మూలాలు లేదా ఎగ్రెస్ గమ్యస్థానాలుగా అనుమతించబడటానికి ఎంపిక చేయబడ్డాయి. Pod IPలు తాత్కాలికమైనవి మరియు అనూహ్యమైనవి కాబట్టి, ఇవి క్లస్టర్-బాహ్య IPలు అయి ఉండాలి.
క్లస్టర్ ఎంట్రన్స్ మరియు ఎగ్రెస్ పద్ధతులను ఉపయోగిస్తున్నప్పుడు ప్యాకెట్ల మూలం లేదా గమ్యం IP తరచుగా తిరిగి వ్రాయబడాలి. ఉపయోగించబడే నిర్దిష్ట నెట్వర్క్ ప్లగిన్ (క్లౌడ్ సర్వీస్ ప్రొవైడర్, సర్వీస్ ఇంప్లిమెంటేషన్ మొదలైనవి) ఆధారంగా, ప్రవర్తన మారవచ్చు.
ప్రవేశానికి ఇది నిజం మరియు కొన్ని సందర్భాల్లో మీరు వాస్తవ సోర్స్ IP ఆధారంగా ఇన్కమింగ్ ప్యాకెట్లను ఫిల్టర్ చేయాలి. మరోవైపు, నెట్వర్క్ పాలసీ పని చేసే “సోర్స్ IP” అనేది లోడ్ బ్యాలన్సర్ యొక్క IP లేదా పాడ్ నోడ్ మొదలైనవి కావచ్చు.
క్లస్టర్-బాహ్య IPలకు తిరిగి వ్రాయబడిన పాడ్లు మరియు సర్వీస్ IPల మధ్య కనెక్షన్లు ఎగ్రెస్ పరంగా ipBlock-ఆధారిత పరిమితులకు లోబడి ఉండవచ్చని ఇది చూపిస్తుంది.
డిఫాల్ట్ విధానాలు ఏమిటి?
నేమ్స్పేస్లో పాడ్లకు మరియు బయటికి వచ్చే అన్ని ఇన్గ్రెస్ మరియు ఎగ్రెస్ ట్రాఫిక్, డిఫాల్ట్గా, ఆ నేమ్స్పేస్కు ఎటువంటి నియంత్రణలు లేనట్లయితే అనుమతించబడతాయి. మీరు క్రింది ఉదాహరణలను ఉపయోగించడం ద్వారా నేమ్స్పేస్ డిఫాల్ట్ ప్రవర్తనను మార్చవచ్చు.
డిఫాల్ట్ అన్ని ప్రవేశ ట్రాఫిక్ను తిరస్కరించండి
అన్ని పాడ్లను ఎంచుకునే నెట్వర్క్ పాలసీని క్రియేట్ చేస్తున్నప్పుడు కానీ ఆ పాడ్లకు ఇన్కమింగ్ ట్రాఫిక్ను చేర్చకుండా, మీరు “డిఫాల్ట్” ఇన్గ్రెస్ ఐసోలేషన్ విధానాన్ని రూపొందించవచ్చు మరియు అది నేమ్స్పేస్ కోసం.
ఇది అన్ని పాడ్లను, ఏదైనా ఇతర నెట్వర్క్ పాలసీ వాటిని ఎంచుకుంటున్నా దానితో సంబంధం లేకుండా, ప్రవేశం కోసం వేరుచేయబడిందని నిర్ధారిస్తుంది. ఈ నియమం ఏదైనా పాడ్ నుండి నిష్క్రమించడానికి ఐసోలేషన్కు వర్తించదు.
డిఫాల్ట్ అన్ని ఎగ్రెస్ ట్రాఫిక్ను తిరస్కరించండి
మీరు అన్ని పాడ్లను ఎంచుకుని, ఆ పాడ్ల నుండి ఎగ్రెస్ ట్రాఫిక్ను నిషేధించే నెట్వర్క్ పాలసీని సృష్టించినప్పుడు, మీరు “డిఫాల్ట్” ఎగ్రెస్ ఐసోలేషన్ విధానాన్ని రూపొందించవచ్చు మరియు అది కూడా నేమ్స్పేస్ కోసం.
ముగింపు
ఈ గైడ్ అంతా DenyServiceExternalIPల వినియోగానికి సంబంధించినది. ఇది పని చేస్తుందని మా వినియోగదారులకు అర్థమయ్యేలా చేయడానికి మేము రేఖాచిత్ర ప్రాతినిధ్యాన్ని రూపొందించాము. మేము నమూనా కాన్ఫిగరేషన్లను కూడా అందించాము.