Làm cách nào tôi có thể nhận IP tĩnh đầu ra trên mỗi không gian tên trong cụm EKS

Thiết lập hiện tại của tôi liên quan đến một Cụm EKS có nhiều không gian tên (nhiều đối tượng thuê) trên nhiều nút EKS khác nhau trong các mạng con riêng tư. Tôi muốn lưu lượng truy cập đi ra từ các nhóm có EIP dành riêng cho mỗi không gian tên. AFAIK không có giải pháp sẵn có cho vấn đề này. Tôi đã tìm kiếm rất lâu và chăm chỉ trên internet nhưng vô ích. Dưới đây là một số giải pháp mà tôi đã mệt mỏi, nhưng cuối cùng lại gặp trở ngại.

Cổng ra Istio Cho phép bạn điều hướng tất cả lưu lượng truy cập ra từ các nhóm thông qua một nhóm cổng ra chuyên dụng. Nhưng nhóm cổng ra sẽ giả sử ip của nút mà nó đang chạy, điều này sẽ không hoạt động đối với trường hợp sử dụng của tôi. Ngoài ra, tôi chưa tìm thấy tài liệu phù hợp về cách tôi có thể thiết lập nhiều nhóm cổng ra trên nhiều nút.

Calico Egress Gateway Rất giống với giải pháp Istio Egress Gateway và áp dụng cùng một ràng buộc

Giải pháp tùy chỉnh Tôi đã bắt đầu triển khai một giải pháp tùy chỉnh, trong đó tôi thiết lập nhiều Nút cổng trong mạng con công cộng, mỗi nút có một EIP chuyên dụng. Giờ đây, tôi có thể sửa đổi các tuyến/cổng IP trong nút EKS riêng để định tuyến lưu lượng truy cập qua một nút cổng cụ thể dựa trên IP nguồn nhóm.Giải pháp này cảm thấy rất bùn và chi phí hoạt động của một giải pháp như vậy là rất cao.

Tôi đã xem xét các giải pháp như cái này, nhưng đã không có bất kỳ may mắn với họ.

Có cách tiếp cận/giải pháp nào tốt hơn cho vấn đề này không?

Tái bút Cụm sản xuất của tôi cực kỳ lớn, tôi không đủ khả năng để đứng một cụm cho mỗi không gian tên.

Tôi đã đăng chéo câu hỏi này trên ngăn xếp chồng lên nhau cũng. Tôi thực sự không chắc diễn đàn nào là nơi tốt hơn cho câu hỏi này. Vui lòng xóa nó khi thích hợp.

Tóm tắt từ cuộc thảo luận về chủ đề này để có thêm khả năng hiển thị tại đây:

Có một yêu cầu tính năng được tạo trong GitHub, nhưng không có bản cập nhật nào kể từ tháng Ba.

Calico Enterprise sẽ giải quyết trường hợp sử dụng cụ thể này bằng cách gán IP cho không gian tên như được mô tả trong phần tích hợp của họ cho Kubernetes đây:

Cổng ra xác định IP đầu ra tĩnh cho SNAT trên lưu lượng truy cập rời khỏi cụm và áp dụng nó cho một không gian tên cụ thể. Sau đó, nó chỉ định một nhóm trong một không gian tên là nhóm đầu ra và gán một IP có thể định tuyến được sử dụng riêng cho lưu lượng truy cập đầu ra rời khỏi cụm.

Tuy nhiên, trên thực tế, nhóm cổng Egress không nhận biết AWS VPS, do đó, nó không thể gán EIP cho nhóm Egress. Khi lưu lượng truy cập thoát ra khỏi các nhóm cổng, nó sẽ coi IP của chính Nút là IP nguồn.

nhiều nút EKS khác nhau trong các mạng con riêng...

EIP không hoạt động trong mạng con riêng.Nếu bạn có các nút worker được chỉ định trong mạng con công cộng, bạn có thể sử dụng EIP và proxy ngược trên các nút có thể truy cập công khai này để hiển thị các dịch vụ trong mạng riêng. Sau đó, bạn có thể sử dụng Calico Egress Gateway trên các nút công cộng này cho các nhóm proxy ngược lần lượt sử dụng EIP cơ bản.

Cuối cùng tôi đã giải quyết được giải pháp, trong đó tôi thoát lưu lượng truy cập từ các nhóm trong mạng con riêng thông qua "Nhóm proxy" mà tôi thiết lập trong mạng con công cộng. Các nhóm proxy này được gán ip công khai, do đó lưu lượng truy cập đi ra sẽ tự động nhận các ip này. Về mặt vận hành, có một số chi phí trong giải pháp này, nhưng đây là cách tốt nhất tôi có thể đưa ra với các ràng buộc