在上一篇文章中，我们分析了为什么需要对k8s出向流量进行安全管控。并分析了6大类解决方案的特点。可以清晰的看出，将外部安全设施与k8s融合是有效实现出向流量精细化管控的方案。无论是安全管控的技术实现，还是让多团队协作来落地纵深防御的思想，方案都具备了良好的支持和覆盖。 在本篇文章中，我们将具体阐述F5 Container Egress Traffic（CES）方案的一些细节与使用场景。 CES可以理解为一种解决方案，它包含一个运行在k8s内的控制器，以及运行于k8s外部的F5 AFM（虚拟或硬件F5）: CES控制…

为何要进行Egress流量策略管控 2021年CNCF调查显示，全球将kubernetes用在生产环境的用户占比已达59.77%，欧洲用户更是达到了68.98%。用户正越来越多的将生产业务迁移到kubernetes环境下。Gartner 2021 Hype Cycle for Cloud Security也显示了容器与Kubernetes安全已处在”slope of Enlightenment ”阶段。这说明保护kubernetes里的应用服务正变的越来越重要。 当我们去审视运行在kubernetes中的大量微服务…

[crayon-6334614298e10687082483/] CES是一种解决方案。用于帮助用户更好的管理k8s内容器出向策略。它以k8s原生方式解决了高动态IP场景下出向流量策略控制的挑战，提供丰富的出向控制策略。并通过层次化的设计解决了企业安全、网络、平台、应用运维部门之间多角色配合问题。 方案架构 组件构成 CES方案包含以下组件： CES控制：运行于k8s内的容器。该组件为控制面组件，负责将k8s内部署的出向策略转化为外部数据面组件上的配置。 F5 BIG-IP AFM: 运行于k8s外部的数据面组件。…

用于自动化的为一个容器申请jwt token，并关联到此容器上，可以代表该容器身份。kubelet负责申请，挂载，以及更新该token。   要实现该功能需要： k8s 版本v1.12以上 kube-apiserver 中启用如下flag，具体key文件位置，以及audiences要根据实际情况配置 [crayon-63346142a069d609242102/] pod里的容器spec定义需要包含如下volumemount以及volumes定义，注意volumes定义使用的是serviceAccount…

[crayon-63346142a1da1010856798/]

GET nginx-repo.crt and nginx-repo.key， put them into the root of kubernetets-ingress/ Docker login your docker hub with： docker login . or using private repo. follow https://github.com/nginxinc/kubernetes-ingress/blob/master/build/README.md, and build the dock…

需求： K8S中的服务不可用的时候（假定k8s的某个服务出现完全不可用，理论上k8s本身会避免这个问题的出现，这里姑且认为客户需求是合理的），需要为通过CIS已经发布的VS 提供备份访问，及该vs将自动把业务导向其它静态vm提供的服务。 Solution： 需借助BIGIP AS3来实现该需求。即CIS通过部署AS3的方式来部署服务，通过在AS3里直接配置静态的低优先级组member来实现备份，一个例子如下： 上述配置中的pool members部分是重点，静态添加低优先级组member，高优先级组由CIS自动化发…

由于之前全手工安装的是1.10.6版本. 最近需要测试nginx的CRD，但是此CRD至少要v1.11以上版本。本着测试环境多一事不如少一事的原则。。。决定用kubeadm来个快速全新安装一套。 环境准备 1master，2nodes 172.16.10.210 k8s-master-v1-16.lab.f5se.io172.16.10.211 k8s-node1-v1-16.lab.f5se.io172.16.10.212 k8s-node2-v1-16.lab.f5se.io 所有节点准备工作 替换yum re…

对于k8s，openshift等PaaS平台，F5通过Container Ingress Services（CIS，以前叫Container Connector）解决方案实现通过F5 BIGIP将上述PaaS平台中需要对外暴露的服务发布到BIGIP上，从而借助BIGIP更多的应用服务交付能力，并解决原生平台在服务对外暴露上的一些问题。 在CIS解决方案中，通过运行一个bigip controller 容器（以下简称cc），实现对平台中发布的service等资源进行监听并将其转化为BIGIP上的配置。 在cc V1.…

环境 : flannel vxlan，K8S 1.10， BIGIP V13 前提：将bigip作为node节点加入k8s中。 BIGIP上提前配置好vxlan tunnel和tunnel self ip （这两个资源都在/Common下） 步骤1： 在NS1下创建第一个cc，只监听这个ns内资源: 创建完毕后，F5将在/Common下创建相关FDB条目 步骤2： 在相关ns下发布对应的configmap F5资源 步骤3：在另一个ns里部署一个新的cc 在新的ns里发布相关configmap F5资源即可 最后F…

环境背景： flannel vxlan CNI 网络模型， F5 CC容器对接方案。 目标： 实现在F5上利用route domain对不同NS的流量隔离，类似如下： -- | -- | -- | -- | -- | -- Ns1 | Cc1 | Svc1 | cm1 | Partition 1 | Route domain1 -- | -- | -- | -- | -- | -- Ns2 | Cc2 | Svc2 | cm2 | Partition2 | Route domain2 过程分析： 要想实现不同cc监…

http://chunqi.li/2015/11/15/Battlefield-Calico-Flannel-Weave-and-Docker-Overlay-Network/ From the previous posts, I have analysed 4 different Docker multi-host network solutions - Calico, Flannel, Weave and Docker Overlay Network. You can see more details on h…

方案思路： BIGIP通过与node节点构建vxlan网络实现F5与pod网络的直接通信。 前置要求： 1.BIGIP有一个网络须与k8s节点在一个二层上，在这个二层之上构建vxlan，这不是BIGIP的限制，而是flanne vxlan网络模型的设计要求。 2.BIGIP须与k8s中node节点的internalIP构建vxlan，即flannel的vxlan vtep接口要是k8s集群本身所用的接口。如果不是同一接口，可采用https://github.com/myf5/k8s-bigip-ctlr 补丁即可，…

bigip cc 总是使用node internal ip 导致fdb设置错误

感谢媳妇和宝贝，大热天为了让我能安静学习，一鼓作气，特定回了宝贝姥姥家。为了学习考试，特地休假了一段时间，基本是闭门学习状态。老实说，随着年龄增长，现在考试学习这方面的经历要差不少，上一轮考认证还是10余年前考思科时，所以这一次学习多少压力还是有的，kubernetes.io的文档基本快要看到吐了，从conept到task到referrence到tutorials. 并不停的实验。我本身稍微有些基础但不多（可以通过我的博客看出我是在去年夏天有一段时间学习了一下，随后因工作关系，并未持续学习和使用），通过闭门14天，…

[crayon-63346142a55ce055507443/] 在一个matchexpression部分中的多条件是 AND关系 [crayon-63346142a55d2869822592/] 多nodeselectorterm是 或，任意一个匹配即可 [crayon-63346142a55d3786964208/] required首先要满足，在同时多个node满足的情况下，使用prefer，preference下只能配置一个matchexpression，如果匹配则给node加weight（因为此时sche…

用来管理pod的一种抽象，一般很少单独创建，多数情况下是deployment来自动创建和维护。 与RC不同的是，RS的selector支持 set-based，而不是RC简单的等于这样的匹配。 RS的spec.selector必须等于spec.template.labels. spec.template中的内容和一个普通的pod 定义无区别，这是没有了API和kind。 RS会根据replicas的设定维护pods的数量，但是RS与pods的唯一关系就是label selector，它甚至不知道被匹配的pod是不是…