语境:
- 我们正在与我们的一位客户进行整合
- 为了访问他们的系统,我们需要建立一个 VPN 连接
- 出于安全原因,我们需要将此 VPN 连接绑定到我们这边的静态 IP(基本上,由 Juniper 路由器强制执行的第 4 层安全检查;我们使用 OpenSwan 连接到它)。
- 为此,我们必须从该 IP进行连接;也就是说,我们需要建立一个套接字连接,从路由器的角度来看,源 IP 对应于该静态 IP(当然,这需要成功路由回我们的 pod)
- 客户端在操作方面的资源非常有限,所以这个安全环是连接到他们系统的唯一方法
当我们当前的系统运行 (AWS) Kubernetes 时,它是:
- 由瞬态 pod、瞬态节点和不断变化的 IP 组成
- 可以将 ExternalIP 分配给服务(反过来,可以将其路由到 pod);但是,默认情况下,不保证该 pod 发起的流量的发起者 IP
出于这个原因,我们设置了一个外部盒子并为其分配了弹性 IP,作为 VPN 的绑定,公开端点并调用我们的 Kubernetes 服务。这引入了单点故障——如果那个盒子坏了,我们的集成也会失败。
问题:考虑到上面第一个列表中的限制,在 Kubernetes 世界中可以通过什么方式实现 HA?