Forum: PC Hard- und Software Freeradius in Kubernetes Cluster


von Diameter (Gast)


Lesenswert?

Ich habe ein Kubernetes Cluster mit einem externen Loadbalancer. Nun 
möchte ich im Cluster einen Freeradius Server für den Betrieb einer 
802.1x Infrastruktur betreiben. Mein Problem ist, dass ein Service zum 
NAT führt und das whitelisting deshalb nicht funktioniert. Ähnlich 
verhalt es sich beim Loadbalancer. Ich nutze dort gerne Proxy Protocol 
aber das scheint freeradius nicht zu unterstützen. Wie würdet ihr das 
Problem lösen?

von ozo (Gast)


Lesenswert?

Nabend,

schau dir mal CNI-Implementierungen an, die IPVS mit DSR können und 
kube-proxy ersetzen können.
Alternativ (ist imho aber suboptimal) kannst 
duServiceInternalTrafficPolicy auf local setzen - kommt aber mit einem 
Preis.

Grüße,
ozo

von Hans (Gast)


Lesenswert?

Na, nur_ein_schaumläger, was hast du hier beizutragen?

von Diameter (Gast)


Lesenswert?

ozo schrieb:
> Nabend,
> schau dir mal CNI-Implementierungen an, die IPVS mit DSR können und
> kube-proxy ersetzen können.
> Alternativ (ist imho aber suboptimal) kannst
> duServiceInternalTrafficPolicy auf local setzen - kommt aber mit einem
> Preis.
> Grüße,
> ozo

Das hört sich interessant an. Verstehe ich es richtig, dass wenn ich 
Calico nutze die Umstellung machen könnte? Meine aktuelle Murkslösung 
sieht jetzt erstmal vor dem Pod eine statische IP zuzuweisen aber das 
ist natürlich auch sehr hässlich.

von ozo (Gast)


Lesenswert?

Naja,

das ist leider alles recht komplex und hängt von vielen Randbedingungen 
ab.
Lese dir mal die Doku zu ServiceInternalTrafficPolicy durch - 
Grundproblem ist meines Verständnisses nach, dass ein Service in 
Kubernetes SNAT macht und damit die Client-IP im Pod maskiert ist.

Abhängig von Loadbalancer und CNI gibt es ein paar Wege außenrum. Eine 
Möglichkeit bestünde beispielsweise darin, ServiceInternalTrafficPolicy 
auf local zu stellen und dafür zu sorgen (beispielsweise DaemonSet), 
dass auf allen Workern ein Pod von Freeradius läuft.

Wenn es Loadbalancer und CNI unterstützen, gibt es offenbar auch weitere 
Möglichkeiten. Diese scheinen nach meinem aktuellen Verständnis 
kube-proxy (also das Ding was SNAT macht) zu ersetzen. Das ist aber auch 
noch Neuland für mich - an deiner Stelle würde ich die erste Variante 
probieren.

Grüße
ozo

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.