Ich habe ein Kubernetes Cluster mit einem externen Loadbalancer. Nun möchte ich im Cluster einen Freeradius Server für den Betrieb einer 802.1x Infrastruktur betreiben. Mein Problem ist, dass ein Service zum NAT führt und das whitelisting deshalb nicht funktioniert. Ähnlich verhalt es sich beim Loadbalancer. Ich nutze dort gerne Proxy Protocol aber das scheint freeradius nicht zu unterstützen. Wie würdet ihr das Problem lösen?
Nabend, schau dir mal CNI-Implementierungen an, die IPVS mit DSR können und kube-proxy ersetzen können. Alternativ (ist imho aber suboptimal) kannst duServiceInternalTrafficPolicy auf local setzen - kommt aber mit einem Preis. Grüße, ozo
ozo schrieb: > Nabend, > schau dir mal CNI-Implementierungen an, die IPVS mit DSR können und > kube-proxy ersetzen können. > Alternativ (ist imho aber suboptimal) kannst > duServiceInternalTrafficPolicy auf local setzen - kommt aber mit einem > Preis. > Grüße, > ozo Das hört sich interessant an. Verstehe ich es richtig, dass wenn ich Calico nutze die Umstellung machen könnte? Meine aktuelle Murkslösung sieht jetzt erstmal vor dem Pod eine statische IP zuzuweisen aber das ist natürlich auch sehr hässlich.
Naja, das ist leider alles recht komplex und hängt von vielen Randbedingungen ab. Lese dir mal die Doku zu ServiceInternalTrafficPolicy durch - Grundproblem ist meines Verständnisses nach, dass ein Service in Kubernetes SNAT macht und damit die Client-IP im Pod maskiert ist. Abhängig von Loadbalancer und CNI gibt es ein paar Wege außenrum. Eine Möglichkeit bestünde beispielsweise darin, ServiceInternalTrafficPolicy auf local zu stellen und dafür zu sorgen (beispielsweise DaemonSet), dass auf allen Workern ein Pod von Freeradius läuft. Wenn es Loadbalancer und CNI unterstützen, gibt es offenbar auch weitere Möglichkeiten. Diese scheinen nach meinem aktuellen Verständnis kube-proxy (also das Ding was SNAT macht) zu ersetzen. Das ist aber auch noch Neuland für mich - an deiner Stelle würde ich die erste Variante probieren. Grüße ozo
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.