네 vip가 하나 있어야 하고 그림의 구성은 상위 dns에 vip에 연결된 domain을 등록하고 이를 lb용으로 사용하는 구조입니다.
고맙습니다!
네 F5에는 VIP가 설정되어 있고, 관리자나 Worknode가 해당 VIP로 통신을 합니다.
네 또한 vm이 필요없을 경우 kubernetes 클러스터를 lma 툴들과 함께 쉽게 배포 운영할때도 사용할 수 있습니다.
네 감사합니다!
사용하실 수 있습니다. 그러나, 보통 K8S 환경에 별도의 BIG-IP LTM 장비로 설치하시는게 일반적입니다.
운영하는 서비스가 컨테이너화 하는것이 정말 필요한지 고민해보면 좋을 것 같습니다.
기본으로는 BIG-IP NAT IP가 보입니다. Client IP를 Log로 남기기 위해서는 추가적인 작업이 필요합니다
추가적인 작업이란게 어떤건지 개략적으로 알수 있나요?
X-forwarded-for 및 BIG-IP에서 NAT를 하지 않고, 트래픽 플로우가 모두 F5 BIG-IP를 통과될수 있도록 구성해야 합니다.
답변 감사합니다!!
네 tunnel방식의 경우 노드간 통신에 tunnel interface를 만들고 사용하는 것이기 때문에 상관없이 사용 가능합니다.
DSR 구성을 가능하나 Cluster 구조장 DSR 모드를 구성하는데는 한계가 있습니다.
네 아무래도 상용 솔루션이 아닌만큼 container를 사용하는 어떤 환경으로도 마이그레이션 가능하지 않을까 싶습니다.
nodeport의 경우 30000번 이상 특정 포트를 앱에 할당해주는거라 변하지 않을텐데 이상하네요...
네 정확히 어떤 서비스인지는 모르겠지만 경험상 대부분의 applicaton이 불가능하진 않았습니다.
네 맞습니다. 기본 NAT로 BIG-IP에서는 내부 Pod로 전달하며, Client IP를 확인하기 위해서는 X-forwarded-for를 활용합니다
kubernetes에서 node의 ip로 SNAT 하던데, 인그레스 컨트롤러를 사용해도 마찬가지인가요?
말씀해주신 x-forwarded옵션에서 확인해야하는건가요?
아직 답변이 없습니다
bgp 피어링을 할 수도 있고,아니면 f5 controller를 cluster mode로 구성해서 사용할 수도 있습니다.
어떤 방식을 추천하시나요?
일반적으로 iBGP를 많이 사용합니다. eBGP/iBGP 모두 사용은 가능하구요.
같은 네트워크 안에 있다면 cluster mode로 구성을 추천합니다.
Calico는 기본을 BGP를 사용하며, VXLAN을 사용하시려면 Flannel이나 Canal CNI를 사용하셔야 합니다
감사합니다.
네 지원합니다.
아직 지원하지 않는다고 하네요. https://docs.projectcalico.org/networking/openstack/semantics
k8s에 bigip controller가 유연하게 자원의 변화에 대응해 네트워크 설정을 해주기 때문에 편리합니다.
아직 답변이 없습니다
노트 포트 모드의 경우 외부 BIG-IP입장에서는 하나의 Pod만 살아 있어도 모든 Node IP가 UP으로 보입니다.이에 노드포트 모드보다는 클러스터 모드로 구성하시기를 권장드립니다
노드포트 방식에서 지연 또는 기대하지 않은 응답이 발생할 경우 다른 페이지로 redirect를 사용하여 서비스 전체 문제를 보호하는 방식을 사용할 수 있습니다.
이후 설명드리는 클러스터 방식의 사용을 권고 드립니다. Node Port 방식은 Node까지만의 Health만을 관리하기 때문에 실제 POD의 문제 여부를 직접 확인할 수는 없습니다.
아직 답변이 없습니다
안녕하세요 지정호님. L3/L4 DDos 공격의 경우 실 시간 전 세계 44개 PoP 내 DDoS 장비가 실 시간으로 공격 이벤트를 서로 동기화하여 DDoS 공격을 판단하고 대응합니다. 각 거점 PoP이 독립적으로 검사하고 대응하는 방식이 아닙니다. 가장 큰 장점은 L7 DDoS 대응입니다. 방문자의 신원을 파악하여 합법적인 사용자는 허용하면서 악의적인 사용자 또는 봇을 앞단에서 처리할 수 있습니다.
문의하신 사항을 조금 더 설명해 주실 수 있을까요?
혹시 씽크홀과 같은 기능을 말씀 하시는건지요? 해당 기능은 제공하지 않습니다.
WAF 기능을 통해 Request 내의 악의적인 내용이 있을 경우 탐지/차단 기능을 제공할 수 있습니다.