thecritter
Goto Top

Kubernetes in 2 Zonen intern und in der DMZ

Hallo,
wie stelle ich das am besten an wenn ich k8s Nodes intern und auch in der DMZ betreiben will. Derzeit ist es so dass wir einen k8s Cluster im internen Netz haben. Jetzt möchte ich in der DMZ auch mindestens einen Node betreiben. Damit dieser mit den Master Nodes kommuniziert sind ja >5 Ports nötig. Dies wird aber durch die Firewall geblockt. Die DMZ ist aber vom internen Netz problemlos erreichbar. Ist es da möglich in der DMZ einen weiteren Master Node inkl. etcd zu betreiben der dann von den Master Nodes vom internen Netz kontrolliert wird?
Vielen Dank schon mal

Content-Key: 390606

Url: https://administrator.de/contentid/390606

Printed on: March 1, 2024 at 02:03 o'clock

Mitglied: 129580
129580 Oct 25, 2018 updated at 11:47:10 (UTC)
Goto Top
Hallo,

die Master müssen sich aber auch gegenseitig erreichen können. Somit wirst du nicht um eine Firewall Freischaltung herumkommen. Erstell daher ein Node, tagge diesen entsprechend und schalte für diesen die notwendigen Ports frei.

Alternativ du erstellst ein separates Cluster und passt kubectl entsprechend an, um die beiden Cluster verwalten zu können.

Siehe auch:
https://kubernetes.io/docs/tasks/access-application-cluster/configure-ac ...

Viele Grüße,
Exception
Member: TheCritter
TheCritter Oct 25, 2018 at 12:32:21 (UTC)
Goto Top
Danke schon mal
Naja einen Port, den 6443 könnte ich ggf frei schalten lassen. Aber reicht das?
Mit dem einen Node der getaggt wird, die Idee hatte ich auch, aber da konnte ich niemanden überzeugen. Außer auf 6443 müsste ja noch 2x etcd und die weave Ports freigeschaltet werden.

Viele Grüße
Mitglied: 129580
129580 Oct 25, 2018 updated at 13:17:04 (UTC)
Goto Top
Naja einen Port, den 6443 könnte ich ggf frei schalten lassen. Aber reicht das?

Schau mal dort:
https://kubernetes.io/docs/setup/independent/install-kubeadm/#check-requ ...

Mit dem einen Node der getaggt wird, die Idee hatte ich auch, aber da konnte ich niemanden überzeugen. Außer auf 6443 müsste ja noch 2x > etcd und die weave Ports freigeschaltet werden.

Dann bleibt dir nur noch die zweite Option übrig: ein zweites Cluster erstellen und kubectl entsprechend anpassen, damit man einfach die zwei Cluster verwalten kann.
Member: TheCritter
TheCritter Nov 01, 2018 updated at 06:01:29 (UTC)
Goto Top
Ok ich danke dir. Also gibt es keine Lösung wo ggf nur ein Port frei geschaltet werden muss und die Master sich gegenseitig sehen.
Mitglied: 129580
129580 Nov 01, 2018 updated at 10:23:23 (UTC)
Goto Top
Also gibt es keine Lösung wo ggf nur ein Port frei geschaltet werden muss und die Master sich gegenseitig sehen.

Nein, denn der Master besteht aus mehreren Diensten. Und diese müssen sich gegenseitig erreichen können.
Du könntest höchstens ein VPN erstellen und über diesen die Dienste kommunizieren lassen. Dann bräuchtest du nur ein Port.
Doch das dürfte nicht Sinn der Sache sein.