Forum: PC Hard- und Software Freeradius in Kubernetes Cluster


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Diameter (Gast)


Lesenswert?

Ich habe ein Kubernetes Cluster mit einem externen Loadbalancer. Nun 
möchte ich im Cluster einen Freeradius Server für den Betrieb einer 
802.1x Infrastruktur betreiben. Mein Problem ist, dass ein Service zum 
NAT führt und das whitelisting deshalb nicht funktioniert. Ähnlich 
verhalt es sich beim Loadbalancer. Ich nutze dort gerne Proxy Protocol 
aber das scheint freeradius nicht zu unterstützen. Wie würdet ihr das 
Problem lösen?

von ozo (Gast)


Lesenswert?

Nabend,

schau dir mal CNI-Implementierungen an, die IPVS mit DSR können und 
kube-proxy ersetzen können.
Alternativ (ist imho aber suboptimal) kannst 
duServiceInternalTrafficPolicy auf local setzen - kommt aber mit einem 
Preis.

Grüße,
ozo

von Hans (Gast)


Lesenswert?

Na, nur_ein_schaumläger, was hast du hier beizutragen?

von Diameter (Gast)


Lesenswert?

ozo schrieb:
> Nabend,
> schau dir mal CNI-Implementierungen an, die IPVS mit DSR können und
> kube-proxy ersetzen können.
> Alternativ (ist imho aber suboptimal) kannst
> duServiceInternalTrafficPolicy auf local setzen - kommt aber mit einem
> Preis.
> Grüße,
> ozo

Das hört sich interessant an. Verstehe ich es richtig, dass wenn ich 
Calico nutze die Umstellung machen könnte? Meine aktuelle Murkslösung 
sieht jetzt erstmal vor dem Pod eine statische IP zuzuweisen aber das 
ist natürlich auch sehr hässlich.

von ozo (Gast)


Lesenswert?

Naja,

das ist leider alles recht komplex und hängt von vielen Randbedingungen 
ab.
Lese dir mal die Doku zu ServiceInternalTrafficPolicy durch - 
Grundproblem ist meines Verständnisses nach, dass ein Service in 
Kubernetes SNAT macht und damit die Client-IP im Pod maskiert ist.

Abhängig von Loadbalancer und CNI gibt es ein paar Wege außenrum. Eine 
Möglichkeit bestünde beispielsweise darin, ServiceInternalTrafficPolicy 
auf local zu stellen und dafür zu sorgen (beispielsweise DaemonSet), 
dass auf allen Workern ein Pod von Freeradius läuft.

Wenn es Loadbalancer und CNI unterstützen, gibt es offenbar auch weitere 
Möglichkeiten. Diese scheinen nach meinem aktuellen Verständnis 
kube-proxy (also das Ding was SNAT macht) zu ersetzen. Das ist aber auch 
noch Neuland für mich - an deiner Stelle würde ich die erste Variante 
probieren.

Grüße
ozo

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.