EgressGatewayPolicy
Scope: Cluster
Version: v1alpha1
Интерфейс для настройки политик перенаправления прикладного трафика на определённые egress-шлюзы, описанные через интерфейс EgressGateway.
- объектspec
Обязательный параметр
- массив строкspec.destinationCIDRs
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Сетевые запросы в сторону данных подсетей будут маршрутизированы через egress-шлюз.
- строкаspec.egressGatewayName
Обязательный параметр
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Имя ресурса EgressGateway, в котором описан egress-шлюз для обработки трафика.
- массив строкspec.excludedCIDRs
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Сетевые диапазоны, которые требуется исключить из диапазонов, описанных в
destinationCIDRs. Обратите внимание, что исключать служебные диапазоны кластера (podSubnetCIDRиserviceSubnetCIDR) не требуется. - массив объектовspec.selectors
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Селекторы прикладных подов. Их трафик будет маршрутизирован через соответствующий egress-шлюз. Для обозначения namespace используйте псевдо-лейбл
io.kubernetes.pod.namespace.- объектspec.selectors.podSelector
Обязательный параметр
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Настройка фильтра меток (label) по ресурсам.
Если указаны одновременно
matchExpressionsиmatchLabels, учитываются оба фильтра (операцияИ).Пустое значение
labelSelectorсоответствует всем объектам. Нулевое — никаким.- массив объектовspec.selectors.podSelector.matchExpressions
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Список фильтров на основе выражений.
Итоговый результат — результат пересечения множеств, определяемых всеми фильтрами в списке (операция
И).Фильтр на основе выражения.
- строкаspec.selectors.podSelector.matchExpressions.key
Обязательный параметр
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Имя метки.
- строкаspec.selectors.podSelector.matchExpressions.operator
Обязательный параметр
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Оператор сравнения.
- массив строкspec.selectors.podSelector.matchExpressions.values
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Значение метки.
- объектspec.selectors.podSelector.matchLabels
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Фильтр на основе совпадения/несовпадения меток.
EgressGateway
Scope: Cluster
Version: v1alpha1
Интерфейс для настройки отказоустойчивого egress-шлюза на основе группы узлов.
Настроенные egress-шлюзы можно использовать в политиках исходящего трафика EgressGatewayPolicy.
- объектspec
- объектspec.nodeSelector
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Селектор для группы узлов, которые будут осуществлять передачу сетевых запросов на внешние сервисы. Среди данных узлов будут выявлены пригодные к работе и один из них будет назначен активным. Признаки пригодного узла:
- Узел в состоянии Ready.
- Узел не находится в состоянии технического обслуживания (cordon).
- cilium-agent на узле в состоянии Ready.
Разные EgressGateway могут использовать для работы общие узлы, при этом активные узлы будут выбираться независимо, тем самым распределяя нагрузку между ними.
- объектspec.sourceIP
- строкаspec.sourceIP.mode
Обязательный параметр
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Метод определения исходящего IP-адреса, который будет назначен на исходящие запросы через данный шлюз.
Возможны следующие варианты:
-
PrimaryIPFromEgressGatewayNodeInterface(базовый режим) — в качестве IP-адреса будет использоваться primary IP-адрес на публичном сетевом интерфейсе узла.Особенности:
- При выходе из строя активного узла и назначении нового, IP-адрес отправителя в сетевых пакетах поменяется.
- Предварительно необходимо настроить сетевую подсистему на всех egress-узлах:
- у публичных интерфейсов должно быть одинаковое имя (например, eth1),
- должны быть настроены все необходимые маршруты для доступа на все внешние публичные сервисы.
-
VirtualIPAddress(режим с Virtual IP) — явное указание исходящего IP-адреса.Особенности:
- При выходе из строя активного узла, IP-адрес отправителя в сетевых пакетах не поменяется.
- Предварительно необходимо настроить сетевую подсистему на всех egress-узлах:
- должны быть настроены все необходимые маршруты для доступа на все внешние публичные сервисы,
- публичный интерфейс должен быть подготовлен к автоматической настройке виртуального IP в качестве secondary IP-адреса (при назначении egress-узла в качестве активного, адрес не будет отображаться в списке IP на публичном интерфейсе, но при этом, узел будет эмулировать его наличие с помощью ARP-ответов).
Допустимые значения:
VirtualIPAddress,PrimaryIPFromEgressGatewayNodeInterface -
- объектspec.sourceIP.primaryIPFromEgressGatewayNodeInterface
Используется для базового режима (если
mode: PrimaryIPFromEgressGatewayNodeInterface).- строкаspec.sourceIP.primaryIPFromEgressGatewayNodeInterface.interfaceName
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Имя интерфейса на egress-узлах, через который осуществляется доступ к внешним сервисам.
- объектspec.sourceIP.virtualIPAddress
Используется для режима Virtual IP (если
mode: VirtualIPAddress).- массив строкspec.sourceIP.virtualIPAddress.interfaces
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Список сетевых интерфейсов, на которых будет осуществляться имитация виртуального IP-адреса.
По умолчанию:
[] - строкаspec.sourceIP.virtualIPAddress.ip
Доступно в редакциях: SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Виртуальный IP-адрес, который будет назначен на исходящие запросы через egress-шлюз.