上下文:
- 我们正在与一位客户进行整合
- 为了访问他们的系统,我们需要建立一个VPN连接
- 出于安全原因,我们需要将此VPN连接绑定到我们这边的静态IP(基本上是由Juniper路由器实施的第4层安全检查;我们使用OpenSwan进行连接)。
- 为此,我们必须从该IP连接 ;也就是说,我们需要建立一个套接字连接,从路由器的角度来看,源IP对应于该静态IP(当然,它需要成功路由回到我们的Pod)
- 客户端的操作资源非常有限,因此,这种安全性是连接到他们系统的唯一方法
当前系统正在运行(AWS)Kubernetes时,即:
- 由瞬态Pod,瞬态节点和不断变化的IP组成
- 可以将外部IP分配给服务(依次将其路由到pod);但是,默认情况下,不能保证该Pod发起的流量的始发方IP
由于这个原因,我们设置了一个外部设备并为其分配了弹性IP,作为VPN的绑定,公开端点并调用我们的Kubernetes服务。这引入了一个单点故障-如果该框出现故障,那么我们的集成也会失败。
问题:在上面第一个列表的约束下,如何在Kubernetes世界中使HA成为HA?