K8S访问流程

引言

在 Kubernetes 集群中，内部网络是一个隔离的私有网络，外部用户无法直接访问运行在 Pod 中的服务。那么，如何让外部用户能够访问到 Kubernetes 集群内的服务呢？本文将详细介绍从用户请求到 Pod 响应的完整流程。

1、小公司方案

注：外网流量先到公网防火墙，然后防火墙端口映射到k8s的vip，证书配置到ingress上面，dns解析规则就是A记录到公网防火墙绑定的那个公网ip

2、大公司方案

注：

1. 申请了公网ip和域名后，配置dns解析，这个一般在购买域名的云厂商那里配置。

2. 用户先请求流量到公网的防火墙，在防火墙这儿会配置一些安全策略，比如只允许访问80 443端口，同时这个防火墙也是高可用的ip不会切换，除了防火墙以外，可能还有类似入侵检测，bypass相关的安全设备。

3. 通过防火墙的流量可以理解为是符合条件的请求，会由防火墙转到后面的负载均衡设备，我们这边是f5，他上面集成了tls证书配置，waf规则配置。

4. 通过f5的证书解密和waf检查后的流量，可以理解为正常请求，会转发到f5的后端。后端ip地址一般就配置k8s的vip地址，或者ingress所在节点的内网ip地址。