Подключите AKS Cluster через IPSEC VPN только с 1 частным IP

Question

Мы пытаемся подключить кластер AKS через VPN-сеть IPSEC, что требует от нас использовать только один частный IP-адрес (у них есть белый список как для публичных, так и для частных IP-адресов). Для этого мы используем VPN-шлюз Azure.

Мы хотим сообщить об этом с помощью службы (ClusterIP или Internal Load Balancer), но на другой стороне туннеля мы всегда видим частный IP-адрес узла AKS. Поэтому, если мы расширим кластер или нам придется повторно развернуть кластер, наш частный IP-адрес изменится, и мы не сможем общаться.

Мы пробовали использовать оба варианта Kubenet и Advanced в Azure, но мы получили тот же результат.

Буду признателен, если у кого-то здесь есть лучшее представление о том, что мы можем сделать, чтобы иметь детерминированный частный IP для этого случая. Спасибо!

Answer 1

По вашей проблеме, хотя мы не можем определить частный IP-адрес узла AKS, поэтому, как я знаю, есть только один способ достичь этого (возможно, есть другие способы, но я не знаю).

Вы можетесоздайте кластер AKS с расширенной сетью, а затем вы должны выбрать один частный IP-адрес для внутреннего балансировщика нагрузки, независимо от того, в той же подсети или другая подсеть с кластером.Помните, этот частный IP-адрес не всегда будет использоваться и только для балансировки нагрузки.Наконец, вы можете поместить этот частный IP-адрес в белый список и получить доступ к своему приложению в кластере AKS через этот балансировщик нагрузки.

Если у вас есть несколько приложений в кластере AKS, то я бы предложил InternalВход , это более полезно и полезно.

Answer 2

Я пытался, но, к сожалению, это не сработало (я продолжал наблюдать за IP-адресом узла.

Я решил проблему с помощью nodeSelector (поэтому я заставляю модуль развертываться на определенном узле).Я понял, что могу изменить частный IP-адрес узла через конфигурацию IP на портале. Это не причудливое решение, но оно работает. Хотя я хотел бы найти способ сделать это с помощью служб.

Спасибо за вашу помощь!