IBM Cloud Docs
Choix d'un service d'exposition d'application

Choix d'un service d'exposition d'application

Avec IBM Cloud® Kubernetes Service, vous pouvez gérer la mise en réseau au sein du cluster et en externe en rendant les applications accessibles au public ou en privé.

Pour commencer rapidement la mise en réseau de vos applications, suivez cet arbre de décisions et cliquez sur une option pour voir ses documents de configuration :

image vous aide à choisir la meilleure option de mise en réseau pour votre application bottom"
Choisir un service d'exposition d'

Description de l'équilibrage de charge de charge pour les applications via la reconnaissance de service Kubernetes

La reconnaissance de service Kubernetes fournit une connexion réseau aux applications en utilisant des services de réseau et un proxy Kubernetes local.

Tous les pods qui sont déployés sur un noeud worker bénéficient d'une adresse IP privée dans la plage 172.30.0.0/16 et sont uniquement acheminés entre des noeuds worker. Pour éviter des conflits, n'utilisez pas cette plage d'adresses IP sur des noeuds qui communiquent avec vos noeuds worker. Les noeuds worker et les pods peuvent communiquer de manière sécurisée sur le réseau privé en utilisant des adresses IP privées. Toutefois, lorsqu'un pod tombe en panne ou qu'un noeud worker a besoin d'être recréé, une nouvelle adresse IP privée lui est affectée.

Au lieu d'essayer de suivre les adresses IP privées fluctuantes pour des applications qui doivent être hautement disponibles, vous pouvez utiliser les fonctions de reconnaissance de service Kubernetes intégrées pour exposer les applications sous forme de services. Un service Kubernetes regroupe un ensemble de pods et procure une connexion réseau vers ces pods. Le service sélectionne les pods ciblés vers lesquels il achemine le trafic via des libellés.

Un service fournit la connectivité entre vos pods d'application et d'autres services dans le cluster sans exposer l'adresse IP privée réelle de chaque pod. Les services se voient affecter une adresse IP interne, clusterIP, accessible uniquement au sein du cluster. Cette adresse IP est liée au service pendant l'intégralité de son cycle de vie et ne change pas tant que le service existe. Les services reçoivent une adresse IP de l'une des 65 000 adresses IP de la plage 172.21.0.0/16.

Pour éviter des conflits, n'utilisez pas cette plage d'adresses IP sur des noeuds qui communiquent avec vos noeuds worker. Une entrée de recherche DNS est également créée pour le service et stockée dans le composant kube-dns du cluster. L'entrée DNS contient le nom du service, l'espace de noms dans lequel il a été créé et le lien vers l'adresse IP interne au cluster.

Si vous prévoyez de connecter votre cluster à des réseaux sur site via IBM Cloud ou un service VPN, des conflits de sous-réseau peuvent se produire avec la plage 172.30.0.0/16 par défaut pour les pods et la plage 172.21.0.0/16 pour les services. Vous pouvez éviter les conflits de sous-réseau lorsque vous créez un cluster en spécifiant un sous-réseau CIDR personnalisé pour les pods dans l'option --pod-subnet et un sous-réseau CIDR personnalisé pour les services dans l'option --service-subnet.

Pour assurer l'équilibrage de charge de base de tout le trafic réseau TCP et UDP pour les services, un proxy de réseau local Kubernetes, kube-proxy, s'exécute en tant que démon sur chaque noeud worker dans l'espace de nom kube-system. kube-proxy utilise des règles Iptables, une fonction du noyau Linux pour diriger uniformément les demandes vers le pod derrière un service, indépendamment des adresses IP en cluster et du noeud worker sur lequel elles sont déployées.

Par exemple, les applications au sein du cluster peuvent accéder à un pod situé derrière un service de cluster en utilisant l'adresse IP interne au cluster des services ou en envoyant une demande ay nom du service. Lorsque vous utilisez le nom du service, kube-proxy recherche ce nom dans le fournisseur DNS de cluster et achemine la demande vers l'adresse IP interne au cluster du service.

Si vous utilisez un service qui fournit à la fois une adresse IP de cluster interne et une adresse IP externe, les clients en dehors du cluster peuvent envoyer des demandes au public externe ou à l'adresse IP privée du service. kube-proxy transmet les demandes à l'adresse IP du service en cluster et les équilibres de charge entre les pods d'application derrière le service.

Description des types de service Kubernetes

Kubernetes prend en charge quatre types de service réseau : ClusterIP, NodePort, LoadBalancer et Ingress. Les services ClusterIP rendent vos applications accessibles en interne pour permettre la communication entre les pods de votre cluster uniquement. Les services NodePort, LoadBalancer et Ingress rendent vos applications accessibles en externe à partir de l'internet public ou d'un réseau privé.

Le tableau suivant compare les fonctions de chaque type de service réseau :

Caractéristiques des types de service réseau Kubernetes
Caractéristiques ClusterIP NodePort équilibreur de charge (classique - équilibreur de charge de réseau) LoadBalancer (équilibreur de charge VPC) Ingress
Clusters standard Oui Oui Oui Oui Oui
Accessible en externe Oui Oui Oui Oui
Nom d'hôte externe Oui Oui Oui
Adresse IP externe stable Oui Oui
Equilibrage de charge HTTP(S) Oui* Oui* Oui
Terminaison TLS Oui
Règles de routage personnalisées Oui
Plusieurs applications par service Oui

* Un certificat SSL pour l'équilibrage de charge HTTPS est fourni par les commandes ibmcloud ks nlb-dns. Dans les clusters classiques, ces commandes sont prises en charge uniquement pour les équilibreurs de charge de réseau public.

ClusterIP

Vous pouvez exposer des applications uniquement en tant que services ClusterIP sur le réseau privé. Un service ClusterIP fournit une adresse IP interne au cluster qui est accessible par d'autres pods et services au sein du cluster uniquement. Aucune adresse IP externe n'est créée pour l'application. Pour accéder à un pod situé derrière un service de cluster, d'autres applications dans le cluster peuvent utiliser l'adresse IP interne au cluster du service ou envoyer une demande en utilisant le nom du service. Lorsqu'une demande parvient au service, celui-ci envoie les demandes aux pods équitablement, indépendamment des adresses IP internes au cluster des pods et du noeud worker sur lequel ils sont déployés. Notez que si vous ne spécifiez pas de type dans le fichier de configuration YAML d'un service, le type ClusterIP est créé par défaut.

NodePort

Lorsque vous exposez des applications avec un service NodePort, un NodePort compris entre 30000 et 32767 et une adresse IP interne au cluster sont attribués au service. Pour accéder au service depuis l'extérieur de la grappe, vous devez utiliser l'adresse IP publique ou privée d'un nœud de travail et le NodePort au format <IP_address>:<nodeport>. Toutefois, les adresses IP publique et privée du noeud worker ne sont pas permanentes. Lorsqu'un noeud worker est supprimé ou recréé, une nouvelle adresse IP publique et une nouvelle adresse IP privée sont affectées au noeud worker.

Les valeurs NodePort sont idéales pour tester un accès public ou privé ou pour fournir un accès sur une courte période. Remarque : comme les noeuds worker des clusters VPC n'ont pas d'adresse IP publique, vous pouvez accéder à une application via un port de nœud uniquement si vous êtes connecté à votre réseau VPC privé, par exemple, via une connexion VPN.

Comment Kubernetes fait passer le trafic du réseau public par un service NodePort.
Comment Kubernetes fait passer le trafic par un service NodePort

LoadBalancer

Le type de service LoadBalancer est implémenté différemment selon le fournisseur d'infrastructure de votre cluster.

Services LoadBalancer dans les clusters classiques

Infrastructure classique

Equilibreur de charge de réseau(NLB). Chaque cluster standard est mis à disposition avec quatre adresses IP publiques portables et quatre adresses IP privées portables que vous pouvez utiliser pour créer un équilibreur de charge de réseau (NLB) TCP/UDP pour votre application. Vous pouvez personnaliser votre équilibreur de charge de réseau en exposant n'importe quel port dont votre application a besoin. Les adresses IP publiques et privées portables affectées au NLB sont permanentes et ne changent pas lorsqu'un noeud worker est recréé dans le cluster. Vous pouvez créer un sous-domaine pour votre application, qui enregistrera les adresses IP d'équilibreur de charge de réseau (NLB) publiques avec une entrée DNS. Vous pouvez également activer des moniteurs de diagnostic d'intégrité sur les adresses IP d'équilibreur de charge de réseau (NLB) pour chaque sous-domaine.

Comment Kubernetes transmet le trafic réseau à travers les services LoadBalancer.
LoadBalancer dans les clusters classiques

Services LoadBalancer dans les clusters de VPC

Virtual Private Cloud

Equilibreur de charge pour VPC. Lorsque vous créez un service Kubernetes LoadBalancer pour une application dans votre cluster, un équilibreur de charge VPC est automatiquement créé dans votre VPC, en dehors de votre cluster. L'équilibreur de charge VPC comprend plusieurs zones et achemine des demandes pour votre application via les ports de noeud privés qui sont automatiquement ouverts sur vos noeuds worker. Par défaut, l'équilibreur de charge est également créé avec un nom d'hôte que vous pouvez utiliser pour accéder à votre application.

Comment Kubernetes transmet le trafic réseau à travers les services LoadBalancer.
LoadBalancer dans les clusters VPC

Ingress

Exposez plusieurs applications dans un cluster en configurant le routage avec l'équilibreur de charge d'application (ALB) d'Ingress. L'équilibreur de charge d'application utilise un point d'entrée public ou privé unique et sécurisé, un sous-domaine Ingress, pour acheminer les demandes entrantes vers vos applications. Vous pouvez utiliser un seul sous-domaine pour exposer plusieurs applications dans votre cluster sous forme de services. Ingress comporte trois composants :

  • La ressource Ingress définit les règles de routage et d'équilibrage de charge des demandes entrantes pour une application.
  • L'équilibreur de charge d'application (ALB) est à l'écoute des demandes de service HTTP, HTTPS ou TCP entrantes. Il transmet les demandes aux pods des applications en fonction des règles que vous avez définies dans la ressource Ingress.
  • L'équilibreur de charge multizone (MZLB) pour les clusters classiques ou l'équilibreur de charge VPC pour les clusters VPC gère toutes les demandes entrantes vers vos applications et équilibre la charge des demandes en les répartissant entre les ALB dans les différentes zones. Il active également des diagnostics d'intégrité pour les adresses IP Ingress publiques.

Trafic de service Ingress dans les clusters classiques.
Trafic de service Ingress dans les clusters classiques

Trafic de service Ingress dans les clusters de VPC.
Trafic de service Ingress dans les clusters de VPC

Planification d'un équilibrage de charge externe public

Exposez au public une application de votre cluster sur Internet.

Dans les clusters classiques, vous pouvez connecter des noeuds worker à un VLAN public. Le VLAN public détermine l'adresse IP publique qui est affectée à chaque noeud worker, ce qui offre à chaque noeud worker une interface réseau publique. Les services de mise en réseau public se connectent à cette interface de réseau public en fournissant à votre application une adresse IP publique et, le cas échéant, une URL publique.

Dans les clusters VPC, vos noeuds worker sont connectés uniquement aux sous-réseaux VPC privés. Toutefois, lorsque vous créez des services de réseau public, un équilibreur de charge VPC est automatiquement créé. L'équilibreur de charge VPC peut acheminer les demandes publiques vers votre application en fournissant une URL publique à votre application. Lorsqu'une application est exposée au public, quiconque disposant de l'URL publique peut envoyer une demande à votre application.

Lorsqu'une application est exposée au public, quiconque disposant de l'adresse IP de service public ou de l'URL que vous avez configurée pour votre application peut envoyer une demande à cette dernière. C'est pourquoi il est recommandé d'exposer le moins d'applications possible. Exposez une application au public uniquement lorsque vous êtes prêt à accepter du trafic provenant de clients Web ou d'utilisateurs externes.

L'interface réseau publique des noeuds worker est protégée par des paramètres de règles réseau Calico prédéfinis qui sont configurés sur tous les noeuds worker lors de la création du cluster. Par défaut, tout le trafic réseau sortant est autorisé pour tous les noeuds worker. Le trafic réseau entrant est bloqué à l'exception de quelques ports. Ces ports sont ouverts de sorte qu'IBM puisse surveiller le trafic réseau et installer automatiquement les mises à jour de sécurité pour le maître Kubernetes et que les connexions puissent être établies avec les services NodePort, LoadBalancer et Ingress. Pour plus d'informations sur ces règles, y compris comment les modifier, voir Règles réseau.

Choix d'un modèle de déploiement pour les clusters classiques

Pour rendre une application accessible au public sur Internet dans un cluster classique, choisissez un modèle de déploiement d'équilibrage de charge qui utilise des services NodePort, LoadBalancer ou Ingress publics. Le tableau ci-après décrit chaque modèle de déploiement possible, et explique pour quelle raison l'utiliser et comment le configurer. Pour obtenir des informations de base sur les services de mise en réseau utilisés par ces modèles de déploiement, utilisez Description des types de service Kubernetes.

NLB v1.0

  • Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec une adresse IP ou un sous-domaine.
  • Cas d'utilisation : exposer rapidement une application au public avec une adresse IP ou un sous-domaine prenant en charge une terminaison SSL.
  • Implémentation :
    1. Créer un équilibreur de charge de réseau public (NLB) 1.0 dans un cluster simple ou multizone.
    2. Le cas échéant, enregistrez un sous-domaine et des diagnostics d'intégrité.

NLB v2.0

  • Méthode d'équilibrage de charge : équilibrage de charge DSR qui expose l'application avec une adresse IP ou un sous-domaine

  • Cas d'utilisation : exposer une application qui peut recevoir des niveaux élevés de trafic vers le public avec une adresse IP ou un sous-domaine prenant en charge d'une terminaison SSL.

  • Implémentation :

    1. Effectuez les tâches prérequises.
    2. Créez un équilibreur de charge de réseau public 2.0 dans un cluster unique ou multizone.
    3. Le cas échéant, enregistrez un sous-domaine et des diagnostics d'intégrité.

Istio + sous-domaine NLB

  • Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec un sous-domaine et utilise les règles de routage Istio.
  • Cas d'utilisation : implémenter des règles Istio de post-routage, telles que des règles pour différentes versions d'un microservice d'application, et exposer une application gérée par Istio avec un sous-domaine public.
  • Implémentation :
    1. Installez le module complémentaire Istio géré.
    2. Incluez votre application dans le maillage de services Istio.
    3. Enregistrez l'équilibreur de charge Istio par défaut avec un sous-domaine.

ALB Ingress

  • Méthode d'équilibrage de charge : équilibrage de charge HTTPS qui expose l'application avec un sous-domaine et utilise des règles de routage personnalisées.
  • Cas d'utilisation : implémenter des règles de routage personnalisées et une terminaison SSL pour plusieurs applications.
  • Implémentation :
    1. Créez un service Ingress pour l'équilibreur de charge d'application public.
    2. Personnalisez des règles de routage ALB avec des annotations.

Choix d'un modèle de déploiement pour les clusters VPC

Pour rendre une application accessible au public sur Internet dans un cluster VPC, choisissez un modèle de déploiement d'équilibrage de charge qui utilise des services LoadBalancer ou Ingress publics. Le tableau ci-après décrit chaque modèle de déploiement possible, et explique pour quelle raison l'utiliser et comment le configurer. Pour obtenir des informations de base sur les services de mise en réseau utilisés par ces modèles de déploiement, utilisez Description des types de service Kubernetes.

Équilibreur de charge de VPC

  • Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec un nom d'hôte
  • Cas d'utilisation : expose rapidement une application au public avec un nom d'hôte affecté à l'équilibreur de charge de VPC.
  • Implémentation : création d'un service LoadBalancer public dans votre cluster. Un équilibreur de charge VPC est automatiquement créé dans votre VPC qui affecte un nom d'hôte à votre service LoadBalancer pour votre application.

Istio

  • Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec un nom d'hôte et utilise les règles de routage Istio
  • Cas d'utilisation : implémenter des règles de post-routage Istio, telles que des règles pour différentes versions d'un microservice d'application, et exposer une application gérée par Istio avec un nom d'hôte public.
  • Implémentation :
    1. Installez le module complémentaire Istio géré.
    2. Incluez votre application dans le maillage de services Istio.
    3. Enregistrez l'équilibreur de charge Istio par défaut avec un nom d'hôte.

ALB Ingress

  • Méthode d'équilibrage de charge : équilibrage de charge HTTPS qui expose l'application avec un sous-domaine et utilise des règles de routage personnalisées.
  • Cas d'utilisation : implémenter des règles de routage personnalisées et une terminaison SSL pour plusieurs applications.
  • Implémentation :
    1. Créez un service Ingress pour l'équilibreur de charge d'application public.
    2. Personnalisez des règles de routage ALB avec des annotations.

Planification d'un équilibrage de charge externe privé

Exposez en privé une application de votre cluster sur le réseau privé uniquement.

Lorsque vous déployez une application dans un cluster Kubernetes dans IBM Cloud Kubernetes Service, vous souhaitez peut-être rendre l'application accessible uniquement aux utilisateurs et services qui se trouvent sur le même réseau privé que votre cluster. L'équilibrage de charge privé est idéal pour rendre votre application disponible pour des demandes depuis l'extérieur du cluster sans exposer l'application au public général. Vous pouvez également utiliser l'équilibrage de charge privé pour tester des accès, demander du routage et d'autres configurations pour votre application avant de l'exposer ultérieurement au public avec des services réseau public.

A titre d'exemple, admettons que vous ayez créé un équilibreur de charge de réseau privé pour votre application. Cet équilibreur de charge de réseau privé est accessible à :

  • Tout pod figurant dans le même cluster.
  • Tout pod figurant dans n'importe quel cluster dans le même compte IBM Cloud.
  • Si vous n'êtes pas dans le compte IBM Cloud mais toujours derrière le pare-feu de l'entreprise, tout système via une connexion VPN au sous-réseau sur lequel figure l'adresse IP de l'équilibreur de charge.
  • Si vous n'êtes pas dans le compte IBM Cloud, tout système via une connexion VPN au sous-réseau sur lequel figure l'adresse IP de l'équilibreur de charge.
  • Dans les clusters classiques, si la fonction VRF ou Spanning VLAN est activée, tout système connecté à l'un des VLAN privés dans le même compte IBM Cloud.
  • Dans les clusters de VPC :
    • Si vous autorisez le trafic entre les sous-réseaux VPC, n'importe quel système sur le même VPC.
    • Si vous autorisez le trafic entre les VCP, tout système qui a accès au VPC dans lequel se trouve le cluster.

Choix d'un modèle de déploiement pour les clusters classiques

Pour rendre une application disponible sur un réseau privé uniquement dans des clusters classiques, choisissez un modèle de déploiement d'équilibrage de charge basé sur la configuration VLAN de votre cluster :

Configuration d'un équilibrage de charge privé dans une configuration de VLAN public et privé

Lorsque vos noeuds worker sont connectés à la fois à un VLAN public et à un VLAN privé, vous pouvez rendre votre application accessible uniquement à partir d'un réseau privé en créant des services NodePort, LoadBalancer ou Ingress privés. Ensuite, vous pouvez créer des règles Calico pour bloquer le trafic public vers ces services.

Les paramètres de stratégie de réseau Calico prédéfinis protègent l'interface réseau public des noeuds worker et sont configurés sur chaque noeud worker lors de la création du cluster. Par défaut, tout le trafic réseau sortant est autorisé pour tous les noeuds worker. Le trafic réseau entrant est bloqué à l'exception de quelques ports. Ces ports permettent à IBM de surveiller le trafic réseau et d'installer automatiquement les mises à jour de sécurité pour le maître Kubernetes, de sorte que des connexions puissent être établies pour les services NodePort, LoadBalancer et Ingress.

Etant donné que les règles réseau Calico par défaut autorisent le trafic public entrant dans ces services, vous pouvez créer des règles Calico pour bloquer tout le trafic public vers ces services. Par exemple, un service NodePort ouvre un port sur un noeud worker via à la fois l'adresse IP privée et l'adresse IP publique du noeud worker. Un service d'équilibreur de charge de réseau avec une adresse IP privée portable ouvre un service NodePort public sur tous les noeuds worker. Vous devez créer une règle réseau Pre-DNAT Calico pour bloquer les ports de noeud publics.

Passez en revue les modèles de déploiement de l'équilibrage de charge pour le réseau privé.

NodePort
Méthode d'équilibrage de charge : port sur un noeud worker qui expose l'application sur l'adresse IP privée du noeud worker.
Cas d'utilisation : tester l'accès privé à une application ou fournir un accès pendant une courte durée.
Implémentation : création d'un service NodePort. Un service NodePort ouvre un port sur un noeud worker via à la fois l'adresse IP privée et l'adresse IP publique du noeud worker. Vous devez utiliser une règle réseau pré-DNAT Calico pour bloquer le trafic vers les ports de noeud publics.
NLB v1.0
Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec une adresse IP privée.
Cas d'utilisation : exposer rapidement une application à un réseau privé avec une adresse IP privée.
Implémentation :
  1. Créez un service NLB privé. Un service d'équilibreur de charge avec une adresse IP privée portable dispose toujours d'un port de noeud public ouvert sur chaque noeud worker.
  2. Créez une règle réseau Pre-DNAT Calico pour bloquer le trafic vers les ports de noeud publics.
NLB v2.0
Méthode d'équilibrage de charge : équilibrage de charge DSR qui expose l'application avec une adresse IP privée.
Cas d'utilisation : exposer une application qui peut recevoir des niveaux élevés de trafic vers un réseau privé avec une adresse IP.
Implémentation :
  1. Effectuez les tâches prérequises.
  2. Créez une équilibreur de charge de réseau 2.0 privé dans un cluster Unique ou à zones multiples.
  3. Un service d'équilibreur de charge avec une adresse IP privée portable dispose toujours d'un port de noeud public ouvert sur chaque noeud worker. Créez une règle réseau Pre-DNAT Calico pour bloquer le trafic vers les ports de noeud publics.
ALB Ingress
Méthode d'équilibrage de charge : équilibrage de charge HTTPS qui expose l'application avec un sous-domaine et utilise des règles de routage personnalisées.
Cas d'utilisation : implémenter des règles de routage personnalisées et une terminaison SSL pour plusieurs applications.
Implémentation :
  1. Désactivez l'équilibreur de charge d'application public
  2. Activez l'équilibreur de charge d'application privé et créez une ressource Ingress.
  3. Personnalisez des règles de routage ALB avec des annotations.
  4. Un service d'équilibreur de charge avec une adresse IP privée portable dispose toujours d'un port de noeud public ouvert sur chaque noeud worker. Créez une règle réseau Pre-DNAT Calico pour bloquer le trafic vers les ports de noeud publics.

Configuration d'un équilibrage de charge privé dans une configuration de VLAN privé uniquement

Lorsque vos noeuds worker sont connectés à un VLAN privé uniquement, vous pouvez rendre votre application accessible en externe à partir d'un réseau privé uniquement en créant des services NodePort, LoadBalancer ou Ingress privés.

Si votre cluster est connecté à un réseau local virtuel privé uniquement et que vous activez le maître et les noeuds worker pour communiquer via un noeud final de service uniquement privé, vous ne pouvez pas exposer automatiquement vos applications à un réseau privé. Vous devez configurer un dispositif de passerelle, tel qu'un VRA(Vyatta), qui fera office de pare-feu et bloquera ou autorisera le trafic. Comme vos noeuds worker ne sont pas connectés à un VLAN public, aucun trafic public n'est acheminé vers les services NodePort, LoadBalancer, or Ingress. Toutefois, vous devez ouvrir les ports et les adresses IP requis dans votre pare-feu de dispositif de passerelle pour autoriser le trafic entrant vers ces services.

Découvrez les modèles de déploiement d'équilibrage de charge suivants pour un réseau privé :

NodePort
Méthode d'équilibrage de charge : port sur un noeud worker qui expose l'application sur l'adresse IP privée du noeud worker.
Cas d'utilisation : tester l'accès privé à une application ou fournir un accès pendant une courte durée.
Implémentation :
  1. Créez un service NodePort.
  2. Dans votre pare-feu privé, ouvrez le port que vous avez configuré lorsque vous avez déployé le service sur les adresses IP privées de tous les noeuds worker pour autoriser le trafic. Pour identifier le port, exécutez la commande kubectl get svc. Le port se trouve dans la plage 30000-32767.
NLB v1.0
Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec une adresse IP privée.
Cas d'utilisation : exposer rapidement une application à un réseau privé avec une adresse IP privée.
Implémentation :
  1. Créez un service NLB privé.
  2. Dans votre pare-feu privé, ouvrez le port que vous avez configuré lorsque vous avez déployé le service en indiquant l'adresse IP privée du service d'équilibreur de charge de réseau.
NLB v2.0
Méthode d'équilibrage de charge : équilibrage de charge DSR qui expose l'application avec une adresse IP privée.
Cas d'utilisation : exposer une application qui peut recevoir des niveaux élevés de trafic vers un réseau privé avec une adresse IP.
Implémentation :
  1. Créez un service NLB privé.
  2. Dans votre pare-feu privé, ouvrez le port que vous avez configuré lorsque vous avez déployé le service en indiquant l'adresse IP privée du service d'équilibreur de charge de réseau.
ALB Ingress
Méthode d'équilibrage de charge : équilibrage de charge HTTPS qui expose l'application avec un sous-domaine et utilise des règles de routage personnalisées.
Cas d'utilisation : implémenter des règles de routage personnalisées et une terminaison SSL pour plusieurs applications.
Implémentation :
  1. Configurer un service DNS disponible sur le réseau privé.
  2. Activez l'équilibreur de charge d'application privé et créez une ressource Ingress.
  3. Dans votre pare-feu privé, ouvrez le port 80 pour HTTP ou le port 443 pour HTTPS et indiquez l'adresse IP de votre ALB privé.
  4. Personnalisez des règles de routage ALB avec des annotations.

Choix d'un modèle de déploiement pour les clusters VPC

Rendez votre application accessible à partir d'un réseau privé uniquement en créant des services NodePort, LoadBalancer ou Ingress privés.

Découvrez les modèles de déploiement d'équilibrage de charge suivants pour une mise en réseau d'application privée dans des clusters VPC :

NodePort
Méthode d'équilibrage de charge : port sur un noeud worker qui expose l'application sur l'adresse IP privée du noeud worker.
Cas d'utilisation : tester l'accès privé à une application ou fournir un accès pendant une courte durée. Remarque : vous pouvez accéder à une application via un port de noeud (NodePort) uniquement si vous êtes connecté à votre réseau VPC privé, par exemple, via une connexion VPN.
Implémentation : création d'un service NodePort privé.
Equilibreur de charge d'application VPC
Méthode d'équilibrage de charge : équilibrage de charge de base qui expose l'application avec un nom d'hôte privé.
Cas d'utilisation : exposer rapidement une application à un réseau privé avec un nom d'hôte privé affecté à un équilibreur de charge d'application VPC.
Implémentation : création d'un service LoadBalancer privé dans votre cluster. Un équilibreur de charge d'application VPC multizone est automatiquement créé dans votre VPC qui affecte un nom d'hôte à votre service LoadBalancer pour votre application.
ALB Ingress
Méthode d'équilibrage de charge : équilibrage de charge HTTPS qui expose l'application avec un nom d'hôte et utilise des règles de routage personnalisées.
Cas d'utilisation : implémenter des règles de routage personnalisées et une terminaison SSL pour plusieurs applications.
Implémentation :
  1. Activez l'équilibreur de charge d'application privé, créez un sous-domaine pour enregistrer l'équilibreur de charge d'application avec une entrée DNS et créez une ressource Ingress.
  2. Personnalisez des règles de routage ALB avec des annotations.