Egress Gateway

Развернуть все Свернуть все

Страница Egress Gateway содержит список Cilium Egress Gateway Policies, созданных в кластере. Ресурс Cilium Egress Gateway Policy определяет способ маршрутизации и доступа во внешнюю сеть из подов c предсказуемым IP-адресом или интерфейсом. Поскольку у подов постоянно меняются IP-адреса, Cilium Egress Gateway Policy может быть полезен в случаях, когда для трафика требуется известный исходный IP-адрес или интерфейс.

На странице Egress Gateway можно создать, отредактировать, удалить или просмотреть ранее созданные Egress Gateway.

Создание Egress Gateway #

Для добавления нового ресурса нажмите + Добавить Egress Gateway.

На открывшейся странице заполните сведения:

• Имя Egress Gateway.
• IP-адрес, используемый для SNAT (преобразования сетевых адресов ) трафика. Нельзя одновременно указать IP-адрес и сетевой интерфейс.
• Интерфейс. Вместо IP-адреса можно указать сетевой интерфейс, который будет использоваться для исходящего трафика, например, eth1.
• Список целевых CIDRs - destinationCIDRs. Пункты назначения, куда из подов будет направлен трафик. По умолчанию установлено 0.0.0.0/0.
• Список исключаемых CIDR - excludedCIDRs. Вы можете задать один или несколько исключаемых CIDRs.
• Неймспейс. Выберите неймспейс, чтобы определить поды для исходящего трафика. Когда выбран неймспейс, в таблице Список подов отобразится перечень потенциальных подов. Чтобы добавить поды из разных неймспейсов нажмите + Добавить неймспейс. Это может потребоваться, когда приложение развернуто в нескольких экземплярах нескольких неймспейсов одного кластера и для них требуется назначить единый IP-адрес исходящего трафика.
• При необходимости задайте сопадающие лейблы в Селектор подов, чтобы определить потенциальные поды выбранного неймспейса для исходящего трафика.

Чтобы определить Worker-узел кластера в качестве узла шлюза (gateway), задайте в разделе Селектор узлов одно или несколько условий:

• Лейблы. Чтобы добавить лейблы, нажмите + и укажите ключ лейбла, при необходимости укажите значение ключа.
• Совпадающие выражения. Нажмите на +, чтобы добавить выражение. В открывшемся окне выберите ключ и оператора. Доступные операторы:
  • In - будут выбраны узлы с совпадающим ключом и заданным значением;
  • NotIn - не выбираются узлы с совпадающим ключом и заданным значением;
  • Exists - будут выбраны узлы с совпадающим ключом. Указывать значение не требуется;
  • DoesNotExist - не выбираются узлы с совпадающим ключом. Указывать значение не требуется.

В случае, если заданному набору условий (лейблы, выражения) соответствует несколько Worker-узлов, будет использован первый узел в лексическом порядке. Нажмите Сохранить, чтобы завершить создание Egress Gateway.

Созданный ресурс будет отображаться в списке на странице Egress Gateway.

Особенности настройки Egress Gateway #

• В случае указания IP-адреса исходящий трафик будет выходить через указанный IP-адрес с Worker-узла.
• В случае указания сетевого интерфейса, исходящий трафик будет проходить через сетевой интерфейс одного из выбранных в селекторе узлов. В случае, если на выбранном узле указанный интерфейс будет недоступен, исходящий трафик будет запрещен.
• Если в селекторе узлов выбраны такие условия (лейблы, совпадающие выражения), по которым не нашлось ни одного Worker-узла, исходящий трафик будет запрещен.
• В случае, если в селекторе узлов выбран только 1 Worker-узел, и этот узел будет недоступен, исходящий трафик будет запрещен.
• Если не указывать напрямую сетевой интерфейс или IP-адрес, на одном из Worker-узлов кластера будет использован первый IPv4, назначенный интерфейсу с маршрутом по умолчанию.

Просмотр и изменение Egress Gateway #

Для просмотра нажмите на строку Egress Gateway в списке на странице Egress Gateway.

Страница просмотра содержит две вкладки:

• Egress Gateway;
• Манифест.

При необходимости изменения Egress Gateway вы можете обновить сведения:

• IP-адреса;
• сетевого интерфейса;
• списка целевых CIDRs - destinationCIDRs;
• списка исключаемых CIDR - excludedCIDRs;
• перечень неймспейсов, трафик подов которых будет выходить в соответствии с настройкой Egress Gateway.

По завершении внесения изменений нажмите Сохранить.

Также Egress Gateway можно изменить с помощью YAML манифеста. Перейдите на вкладку Манифест. После изменения манифеста выполните проверку. Результат проверки будет доступен в правой части экрана. Раскройте блок результата проверки, чтобы увидеть полный манифест. Если валидация формата манифеста Cluster Issuer не пройдена, недоступна проверка манифеста.

Сохраните изменения, внесенные в манифест. Несохраненные данные не будут применены.

Чтобы удалить Egress Gateway, нажмите в строке элемента на странице Egress Gateway или перейдите на страницу просмотра и нажмите Удалить и подтвердите действие.