Kubernetes in 2 Zonen intern und in der DMZ
Hallo,
wie stelle ich das am besten an wenn ich k8s Nodes intern und auch in der DMZ betreiben will. Derzeit ist es so dass wir einen k8s Cluster im internen Netz haben. Jetzt möchte ich in der DMZ auch mindestens einen Node betreiben. Damit dieser mit den Master Nodes kommuniziert sind ja >5 Ports nötig. Dies wird aber durch die Firewall geblockt. Die DMZ ist aber vom internen Netz problemlos erreichbar. Ist es da möglich in der DMZ einen weiteren Master Node inkl. etcd zu betreiben der dann von den Master Nodes vom internen Netz kontrolliert wird?
Vielen Dank schon mal
wie stelle ich das am besten an wenn ich k8s Nodes intern und auch in der DMZ betreiben will. Derzeit ist es so dass wir einen k8s Cluster im internen Netz haben. Jetzt möchte ich in der DMZ auch mindestens einen Node betreiben. Damit dieser mit den Master Nodes kommuniziert sind ja >5 Ports nötig. Dies wird aber durch die Firewall geblockt. Die DMZ ist aber vom internen Netz problemlos erreichbar. Ist es da möglich in der DMZ einen weiteren Master Node inkl. etcd zu betreiben der dann von den Master Nodes vom internen Netz kontrolliert wird?
Vielen Dank schon mal
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390606
Url: https://administrator.de/forum/kubernetes-in-2-zonen-intern-und-in-der-dmz-390606.html
Ausgedruckt am: 27.12.2024 um 00:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
die Master müssen sich aber auch gegenseitig erreichen können. Somit wirst du nicht um eine Firewall Freischaltung herumkommen. Erstell daher ein Node, tagge diesen entsprechend und schalte für diesen die notwendigen Ports frei.
Alternativ du erstellst ein separates Cluster und passt kubectl entsprechend an, um die beiden Cluster verwalten zu können.
Siehe auch:
https://kubernetes.io/docs/tasks/access-application-cluster/configure-ac ...
Viele Grüße,
Exception
die Master müssen sich aber auch gegenseitig erreichen können. Somit wirst du nicht um eine Firewall Freischaltung herumkommen. Erstell daher ein Node, tagge diesen entsprechend und schalte für diesen die notwendigen Ports frei.
Alternativ du erstellst ein separates Cluster und passt kubectl entsprechend an, um die beiden Cluster verwalten zu können.
Siehe auch:
https://kubernetes.io/docs/tasks/access-application-cluster/configure-ac ...
Viele Grüße,
Exception
Naja einen Port, den 6443 könnte ich ggf frei schalten lassen. Aber reicht das?
Schau mal dort:
https://kubernetes.io/docs/setup/independent/install-kubeadm/#check-requ ...
Mit dem einen Node der getaggt wird, die Idee hatte ich auch, aber da konnte ich niemanden überzeugen. Außer auf 6443 müsste ja noch 2x > etcd und die weave Ports freigeschaltet werden.
Dann bleibt dir nur noch die zweite Option übrig: ein zweites Cluster erstellen und kubectl entsprechend anpassen, damit man einfach die zwei Cluster verwalten kann.
Also gibt es keine Lösung wo ggf nur ein Port frei geschaltet werden muss und die Master sich gegenseitig sehen.
Nein, denn der Master besteht aus mehreren Diensten. Und diese müssen sich gegenseitig erreichen können.
Du könntest höchstens ein VPN erstellen und über diesen die Dienste kommunizieren lassen. Dann bräuchtest du nur ein Port.
Doch das dürfte nicht Sinn der Sache sein.