Rotação de IP

Nesta página, explicamos como executar uma rotação de IP no Kubernetes Engine.

Visão geral

Você pode executar uma rotação de IP para alterar o endereço IP que o mestre do Kubernetes do cluster usa para atender a solicitações da Kubernetes API.

Você pode usar a rotação de IP para ofuscar a localização do mestre do Kubernetes em execução. A rotação de IP também altera o certificado SSL e a autoridade de certificação do cluster. Portanto, não há uma conexão externamente visível entre o endereço anterior e o novo.

Como a rotação de IP funciona

Uma rotação de IP é um processo de várias etapas.

  • Quando você inicia uma rotação de IP, o mestre do cluster começa a atender ao novo endereço IP além do endereço IP original.
  • Depois de iniciar uma rotação, atualize os clientes de API do cluster, como máquinas de desenvolvimento que usam a interface de linha de comando kubectl, para começar a se comunicar com o mestre por meio do novo endereço IP.
  • Quando você completa a rotação, o mestre deixa de atender ao tráfego no endereço IP anterior.

Como fazer uma rotação de IP

As seções a seguir explicam como executar uma rotação de IP.

Como iniciar a rotação

Para iniciar uma rotação de IP, execute o seguinte comando:

gcloud container clusters update [CLUSTER_NAME] --start-ip-rotation

em que [CLUSTER_NAME] é o nome do cluster

Este comando configura o mestre do cluster para atender a dois endereços IP: o original e um novo. Isso gera um curto período de inatividade para a API do cluster.

Após a reconfiguração do mestre, o Kubernetes Engine atualiza automaticamente os nós do cluster para usar o novo endereço IP. Cada pool de nós está marcado como "requer recriação". O Kubernetes Engine não conclui a rotação de IP até que a recriação automática esteja completa.

Como inspecionar a rotação

Para monitorar a operação de atualização, execute o seguinte comando:

gcloud container operations list | grep "AUTO_UPGRADE_NODES.*RUNNING"

Esse comando retorna o código da operação de atualização.

Para pesquisar a operação, passe o código da operação para o seguinte comando:

gcloud container operations wait [OPERATION_ID]

Os pools de nós são recriados um a um, e cada um tem uma operação própria. Se tiver vários pools de nós, você pode usar as instruções acima para pesquisar cada operação.

Como atualizar clientes da API

Depois que a rotação de IP é iniciada, atualize todos os clientes de API de fora do cluster, como o kubectl nas máquinas de desenvolvimento, para que eles apontem para o novo endereço.

Para atualizar seus clientes de API, execute o seguinte comando para cada cliente:

gcloud container clusters get-credentials [CLUSTER_NAME]

Como concluir a rotação

Para concluir a rotação, execute o seguinte comando:

gcloud container clusters update [CLUSTER_NAME] --complete-ip-rotation

Esse comando configura o mestre do cluster para atender apenas ao novo endereço IP. Isso gera um curto período de inatividade para a API do cluster.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…