Сеть

Что такое NodePort в Kubernetes? Когда вы запускаете приложение в Kubernetes, по умолчанию оно доступно только внутри кластера. Чтобы открыть его наружу, используется один из типов сервисов — NodePort. Как работает NodePort Kubernetes открывает порт (30000–32767) на каждом узле кластера. Запросы на <NodeIP>:<NodePort> перенаправляются в сервис, а затем в поды. В основе всё равно используется ClusterIP, но с добавлением внешней точки входа. Таким образом, приложение доступно по адресу: http://<any-node-ip>:<node-port> Example: NodePort Service apiVersion: v1 kind: Service metadata: name: my-app spec: type: NodePort selector: app: my-app ports: - port: 80 targetPort: 8080 nodePort: 30080 port → порт внутри кластера (80). targetPort → порт в контейнере (8080). nodePort → внешний порт на узлах (30080). Плюсы и минусы ✅ Плюсы ...

Что такое Headless Service в Kubernetes? В Kubernetes Service обычно нужен для того, чтобы дать Pod’ам стабильный IP-адрес и DNS-имя. По умолчанию у сервиса есть ClusterIP, и трафик равномерно балансируется между Pod’ами. Но бывают ситуации, когда балансировка не нужна — нужно, чтобы у каждого Pod был собственный DNS-записью. Для этого и существует Headless Service. Как это работает Headless Service создаётся так: clusterIP: None В этом случае Kubernetes не назначает виртуальный IP, а DNS возвращает A-записи для каждого Pod. ...

Изменять IP-адреса узлов в Kubernetes — опасно. Это может привести к нестабильной работе кластера, потере связи между компонентами и невозможности запуска приложений. Разберёмся, почему не стоит менять IP, и как поступить, если всё же пришлось. 1. Почему важен IP-адрес узла Kubernetes использует IP-адреса узлов для: Идентификации узла и его kubelet Связи между компонентами кластера Работы CNI и сетевых плагинов DNS и сервисов Проверки TLS-сертификатов После изменения IP все эти связи рвутся, узел становится NotReady, а поды могут не перезапускаться. ...

Основные команды iptables для DevOps-инженеров iptables — это мощная утилита командной строки для настройки фаервола ядра Linux. Она широко используется для управления сетевым трафиком и защиты систем на базе Linux. Зачем использовать iptables? Блокировка нежелательного трафика Разрешение нужных портов Перенаправление трафика Защита сервисов от несанкционированного доступа Основной синтаксис iptables iptables -[A|D|I|R|L] [CHAIN] [ОПЦИИ] -A: Добавить правило -D: Удалить правило -I: Вставить правило -R: Заменить правило -L: Показать правила Основные цепочки INPUT: Входящий трафик на хост OUTPUT: Исходящий трафик с хоста FORWARD: Трафик, проходящий через хост Примеры Показать все правила iptables -L -v -n Разрешить SSH (порт 22) iptables -A INPUT -p tcp --dport 22 -j ACCEPT Запретить весь входящий трафик по умолчанию iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT Разрешить loopback и установленные соединения iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Удалить правило iptables -D INPUT -p tcp --dport 22 -j ACCEPT Сохранение и восстановление правил Сохранить правила iptables-save > /etc/iptables/rules.v4 Восстановить правила iptables-restore < /etc/iptables/rules.v4 Заключение Понимание iptables позволяет вам контролировать поток трафика в вашей системе. Эти базовые команды помогут вам защитить инфраструктуру и решать сетевые проблемы. ...

Kubernetes поддерживает два основных режима работы kube-proxy: iptables и ipvs. Какой из них выбрать? 1. Что такое kube-proxy? kube-proxy управляет сетевыми правилами на узлах Kubernetes, обеспечивая маршрутизацию между сервисами и подами. Поддерживаются режимы iptables, ipvs и устаревший userspace. 2. Режим iptables Режим по умолчанию Использует цепочки NAT в iptables Плюсы: Простота Не требует дополнительных модулей ядра Удобен для отладки Минусы: Падает производительность при большом количестве сервисов Последовательная обработка правил 3. Режим IPVS Использует IP Virtual Server из ядра Linux Использует хэш-таблицы для ускорения Плюсы: Высокая производительность на больших кластерах Поддержка различных алгоритмов балансировки нагрузки Минусы: Требуются модули ядра ip_vs Сложнее в настройке 4. Переключение на IPVS Проверка поддержки ядра: ...