我代表客户在 Kubernetes 集群中运行一些虚拟机。这些虚拟机偶尔会向外部服务发出请求。这很好用,但这些外部服务看到的 IP 地址始终是我集群的外部 IP,这让我想知道从 IP 地址声誉的角度来看,一个客户端的活动将如何影响其他客户端。
我正在考虑租用一个 /64 IPv6 地址块,然后使用它为每个虚拟机分配一个单独的 IPv6 地址。每个虚拟机都有自己的公共 IPv6 地址。
我一直在探索的一种方法是设置一个虚拟机可以与之通信的 wireguard 服务器。如下所示:https://gist.github.com/MartinBrugnara/cb0cd5b53a55861d92ecba77c80ba729
但是真的需要 wireguard 吗?我是否可以只将块中的公共 IPv6 地址分配给正在运行的每个虚拟机,而不经过 wireguard?
答案1
网络不应仅仅为了掩盖您在互联网上的身份而变得更加复杂。与您有业务往来的实体可以通过 IP 识别您和您的 ISP。他们要么尊重您并允许流量,要么不尊重您。
另请参阅服务器故障:邮件服务器是否应避免与其他服务器共享 /64 ipv6 以提高声誉?
是的,实施 IPv6 并加入现代互联网,同时通过减少地址转换的需求来简化。让您的 ISP 为您分配一些适合您容量规划的前缀。您的 ISP 或云应该提供原生 IPv6,这比您自己建立隧道的体验更好。
我对 Kubernetes 的了解只限于知道它是一个由许多不同的插件和网络设计组成的选择冒险迷宫。由于没有关于这个网络的任何信息,我只能说,作为基础设施控制工具,Kubernetes 需要知道它管理的 IP 前缀。