乱世浮生
·
从 LB Ingress 到 ZTM:集群服务暴露新思路
💡
原文中文,约6900字,阅读约需17分钟。
📝
内容提要
上周六,我参加了 KubeSphere 和 Higress 社区活动,分享了集群服务暴露的新思路。Kubernetes 的服务虚拟化和网络隔离促进了集群内部通信,但外部访问需要额外组件。我介绍了 LoadBalancer、NodePort 和 Ingress 等暴露方式,并提到 ZTM(零信任网)作为支持安全远程访问和跨集群服务暴露的新方法。希望大家能了解 ZTM 的特性及应用。
🎯
关键要点
- 参与 KubeSphere 和 Higress 社区活动,分享集群服务暴露的新思路。
- 集群服务暴露的需求源于 Kubernetes 的服务虚拟化和网络隔离。
- Kubernetes 使用 Service 提供稳定的访问接口,但 ClusterIP 仅限于集群内部。
- 需要额外组件来实现集群服务的外部暴露,尤其在多集群和多云场景下。
- Kubernetes 提供 LoadBalancer、NodePort 和 Ingress 等多种服务暴露方式。
- LoadBalancer 通过云提供商的负载均衡器分发流量,适合云环境。
- NodePort 是最简单的方式,直接在每个节点上开放固定端口。
- Ingress 通过定义 HTTP/HTTPS 路由规则管理流量,适合复杂路由场景。
- 零暴露面网络 ZTM 是一种去中心化的网络基础设施,支持安全远程访问。
- ZTM 提供网络联通性、访问控制和 mTLS 加密等安全能力。
- ZTM 的架构包括 ZTM Agent 和 ZTM Hub,实现安全通信。
- ZTM 的特性包括零防火墙、零端口、零运维等,简化网络管理。
- zt-app 框架为开发者提供标准化接口,简化去中心化应用的构建。
- 使用 ZTM 可以打通集群内外的网络,实现服务的安全访问。
- 通过 zt-tunnel 和 zt-proxy 可以简化集群服务的暴露过程。
- ZTM 适用于远程执行命令、分布式文件共享等多种场景。
- 总结了集群服务暴露的需求及 ZTM 的基本概念和特性。
❓
延伸问答
什么是 ZTM,它的主要特性是什么?
ZTM(零信任网)是一种去中心化的网络基础设施,支持安全远程访问,提供网络联通性、访问控制和 mTLS 加密等安全能力。其特性包括零防火墙、零端口、零运维等。
Kubernetes 中有哪些集群服务暴露方式?
Kubernetes 提供了 LoadBalancer、NodePort 和 Ingress 等多种服务暴露方式,适用于不同的场景和需求。
ZTM 如何实现集群服务的安全访问?
ZTM 通过部署 ZTM Agent 和 Hub,利用 HTTP/2 隧道实现集群内外的网络连通性,从而安全地访问集群服务。
NodePort 和 LoadBalancer 有什么区别?
NodePort 是在每个节点上开放固定端口,适用于小型集群;而 LoadBalancer 通过云提供商的负载均衡器分发流量,适合需要高可用和稳定外部访问的场景。
ZTM 的架构是怎样的?
ZTM 的架构包括 ZTM Agent 和 ZTM Hub,Agent 部署在需要接入的设备上,Hub 作为接入点与 Agent 建立加密隧道,实现安全通信。
如何使用 zt-proxy 简化集群服务的暴露过程?
通过 zt-proxy,可以将集群内的服务作为代理目标,简化访问过程,用户只需通过代理访问目标设备,而无需为每个服务单独创建隧道。
➡️
