Веб-интерфейсы, связанные с модулем: openvpn-admin

Дает доступ к ресурсам кластера через OpenVPN с аутентификацией по сертификатам, предоставляет простой веб-интерфейс.

В веб-интерфейсе можно:

  • выпускать сертификаты;
  • отзывать сертификаты;
  • отменять отзыв сертификатов;
  • получать готовый пользовательский конфигурационный файл.

Интеграция с модулем user-authn позволит управлять доступом пользователей в веб-интерфейс.

Варианты публикации VPN-сервиса

  1. Выберите для подключения один или несколько внешних IP-адресов.
  2. Воспользуйтесь одним из методов подключения:
    • по внешнему IP-адресу (ExternalIP) — если есть узлы с публичными IP-адресами;
    • с помощью LoadBalancer — для всех облачных провайдеров и их схем размещения с поддержкой заказа LoadBalancer;
    • Direct — настройте путь трафика вручную: от точки входа в кластер до пода с OpenVPN.

Доступные ресурсы кластера после подключения к VPN

На компьютер пользователя после подключения к VPN доставляются (push) следующие параметры:

  • адрес kube-dns добавляется в DNS-серверы клиента для возможности прямого обращения к сервисам Kubernetes по FQDN;
  • маршрут в локальную сеть;
  • маршрут в сервисную сеть кластера;
  • маршрут в сеть подов.

Аудит пользовательских соединений

Модуль позволяет включить логирование пользовательской активности через VPN в JSON-формате. Группировка трафика происходит по полям src_ip, dst_ip, src_port, dst_port, ip_proto. С помощью модуля log-shipper логи контейнера можно собрать и отправить на хранение для последующего аудита.