Bonjour,
J'ai un projet en public cloud sur OVH (Kubernetes), dans lequel j’ai :
- 3 instances (nœuds),
- 1 load balancer,
- 1 gateway,
- 1 vRack,
- 1 IP flottante (floating IP),
le tout étant créé automatiquement lors du déploiement de mon Ingress NGINX de type LoadBalancer.
Dans mes instances, j’ai des pods Spring Boot qui tournent et qui doivent communiquer avec des services externes nécessitant une whitelist d’IP.
Actuellement, les requêtes sortantes utilisent l'adresse IP publique propre à chaque instance. Ce fonctionnement n'est pas idéal, car :
- Whitelister chaque IP d’instance n’est pas scalable,
- Cela pose des problèmes lors d’un scale-up automatique ou manuel des nœuds.
Je souhaite centraliser les requêtes sortantes sur une seule IP publique, idéalement la floating IP déjà utilisée par mon Ingress NGINX.
Ainsi, tous les pods du cluster utiliseraient la même adresse IP sortante, indépendamment du nœud où ils tournent.
Comment puis-je mettre cela en place ?
Et si ce n’est pas possible avec l’IP de l’Ingress NGINX, puis-je le faire avec une autre floating IP dédiée ?
L’objectif est d’avoir une IP unique pour toutes les communications sortantes de mes pods, à whitelister côté services externes.
Merci de votre attention.
43758 
07.11.2018 12:32
Oui il faut passer par le vrack et avoir une gateway sur le vrack pour le trafic sortant.
Je ne me souviens plus exactement comment ça se configure, mais oui, il faut attacher un vrack, avoir une gateway sur le vrack, et je sais qu'à la création du cluster, on peut choisir l'option que le trafic sortant passe par le vrack et la gateway.
C'est le k8s managé par ovh ? Si oui, à la création du cluster, on peut choisir pour que les pods "sortent" par la gateway sur le vrack plutôt que via les IPs publiques des nodes, cela permet d'avoir effectivement toutes les connexions sortantes qui passent par la même IP publique.
Je ne sais pas si on peut changer cette configuration une fois le service déployé.
Si c'est une install custom c'est au niveau de la config réseau du cluster qu'il faut gérer ça, usage trop avancé pour moi.
Merci pour ta réponse c'est bien le k8s managé par ovh. Tu parle de l'option (screen) ou une autre :
Oui il faut passer par le vrack et avoir une gateway sur le vrack pour le trafic sortant.
Je ne me souviens plus exactement comment ça se configure, mais oui, il faut attacher un vrack, avoir une gateway sur le vrack, et je sais qu'à la création du cluster, on peut choisir l'option que le trafic sortant passe par le vrack et la gateway.
Merci pour t'a réponse je vais essayer ça.