Я пытаюсь создать сетевое приложение в кластере Kubernetes, которое обрабатывает пакеты между двумя серверами и предлагает службу безопасности для трафика, проходящего через приложение. Следующие пункты резюмируют, как работает это приложение:
Server1 и Server2 подключаются к приложению сетевого шлюза через туннели IPsec.
Пакеты, отправленные Server1, инкапсулируются в туннель IPsec и предназначены для Server2, то есть IP-адрес назначения во внутреннем пакете является IP-адресом Server2.
Сервер IPsec работает в модуле кластера. Это было определено как IPSEC службы Kubernetes.
Я создал еще один сервис Kubernetes под названием TELEMETRY, который работает с сетевыми пакетами. Эта служба собирает некоторые данные телеметрии из пакетов и при необходимости применяет к пакетам некоторые политики.
Расшифрованные пакеты, полученные на этом модуле IPSEC, имеющем IP-адрес назначения, совпадающий с IP-адресом Server2, необходимо пересылать в сервисный модуль TELEMETRY.
Модуль службы TELEMETRY обрабатывает пакет и должен пересылать его обратно модулю IPSEC, чтобы пакет мог быть переадресован на фактический сервер назначения Server2 по туннелю IPsec.
Как только это сработает, я также планирую добавить пару сервисов после TELEMETRY, чтобы сервисный модуль TELEMETRY пересылал пакет этим сервисам. Последняя служба в цепочке перенаправит его обратно в модуль IPSEC.
Я столкнулся с проблемами при пересылке IP-пакетов от одного модуля к другому. Я хочу пересылать пакеты, которые не предназначены для какой-либо службы или модуля в кластере, из одного модуля в другой. Я исследовал Flannel, но он не пересылает пакеты на оверлее, если целевой модуль работает на том же узле. Это не кажется хорошим решением с точки зрения производительности из-за множества копий пакетов между пользователем и пространством ядра.
Было бы действительно здорово, если бы кто-нибудь мог предложить хорошее решение для пересылки IP-пакетов из одного модуля в другой в моем приложении.
