Прекращение поддержки общедоступных кластеров Kapsule



18 марта 2024 г. обслуживание общедоступного сетевого интерфейса для рабочих узлов Kapsule будет прекращено.

Усиление безопасности повсюду было и всегда будет нашим главным приоритетом, и именно поэтому кластеры Kapsule не могут иметь только публичные IP-адреса. Это здорово, часто очень удобно, и мы оставим общедоступные IP-адреса по умолчанию. Но лучший путь вперед — использовать бесплатные частные сети Scaleway для защиты вашей инфраструктуры. Они позволяют всем вашим облачным ресурсам — узлам, базам данных, «голому железу» — взаимодействовать в изолированной и безопасной сети без использования общедоступного Интернета.

Вот почему мы ввели новое значение по умолчанию — «контролируемую изоляцию», при котором узлы имеют как общедоступные, так и частные IP-адреса.

Срок удаления
  • По состоянию на 18 октября 2023 г. общедоступные кластеры устарели ( журнал изменений ). К новым кластерам Kapsule должна быть подключена (бесплатная) частная сеть.
  • 4 декабря 2023 г. мы покажем уведомление об устаревании во всех кластерах без частных конечных точек и предупреждения о необходимости миграции.
  • 18 марта 2024 г. обслуживание устаревшей общедоступной сети будет прекращено ( уведомление ).
  • В период с 18 марта 2024 г. по 26 апреля 2024 г. кластеры Kapsule, по-прежнему имеющие общедоступные конечные точки, будут автоматически перенесены Scaleway в частные сети.

Миграции будут происходить регион за регионом в следующем порядке:
  • PL-WAW: 18 марта 2024 г. – 22 марта 2024 г.
  • NL-AMS: 1 апреля 2024 г. – 5 апреля 2024 г.
  • FR-PAR: 15 апреля 2024 г. – 26 апреля 2024 г.

Как узнать, использует ли мой кластер только общедоступные сети?
До мая 2023 года и до того, как VPC стал общедоступным в Scaleway, режим сети по умолчанию был полностью общедоступным.
Если вы создали кластер Kapsule до этого времени, весьма вероятно, что ваш кластер не был настроен с подключенной частной сетью.
Однако, если вы не уверены, использует ли ваш кластер эту функцию, вы можете проверить несколько мест:
  • В списке кластеров Kubernetes найдите столбец «Сеть»; появится предупреждение (!) «Паблик»
  • Для любого кластера, который еще предстоит перенести, в верхней части обзора будет отображаться постоянный желтый предупреждающий баннер.

Что я получу от этого?
Перейдя на частную сеть в начале 2024 года, вы защитите свою инфраструктуру от будущего.
  • Более безопасный Kubernetes: частные сети позволяют вашим облачным ресурсам взаимодействовать в изолированной и безопасной сети без использования общедоступного Интернета.
  • Более устойчивый кластер: частные сети позволяют настраивать кластеры из нескольких зон доступности.
  • Сверхгибкие возможности изоляции: вы можете либо сохранять общедоступные IP-адреса на своих узлах (защищенные группами безопасности), либо иметь только частные IP-адреса на узлах с одним выходным IP-адресом. Или оба!
  • Готовы к большему количеству функций: вскоре плоскости управления будут изолированы от ваших рабочих узлов, и все они будут общаться в одной частной сети. Вы даже сможете ограничить/разрешить диапазон IP-адресов или портов, чтобы контролировать, кто может получить доступ к серверу API.

Какова плата?
VPC и частные сети предоставляются совершенно бесплатно.

Будут ли простои во время миграции?
Да, подключение частной сети к кластеру Kapsule приводит к неизбежным потерям сети от 1 до 10 минут.

Что произойдет после начала миграции:
  • Ваша плоскость управления будет перезапущена в первый раз: API Kubernetes вашего кластера будет временно недоступен.
  • Ваши пулы будут обновлены для миграции узлов в частную сеть. Все ваши узлы будут перезагружены в соответствии с указанной политикой обновления ваших пулов.
  • После перезагрузки всех ваших узлов ваша плоскость управления будет настроена на использование частной сети и перезапущена еще раз. Затем ваши балансировщики нагрузки будут перенастроены и также перенесены в частную сеть.
  • Наконец, сетевой интерфейс контейнера (CNI) вашего кластера будет перенастроен и перезапущен для использования частной сети.
Важно! На этапе №4 сеть модулей вашего кластера будет временно недоступна в течение 1–10 минут, поскольку все модули CNI перезапускаются. Ориентировочная продолжительность зависит от размера вашего кластера и используемого вами CNI. На этом этапе ваши модули не смогут взаимодействовать друг с другом.

Как мне перенести кластеры Kapsule?
  • Либо с помощью консоли Scaleway: в информации о вашем кластере перейдите на вкладку «Частная сеть», чтобы начать миграцию.
  • Или через Terraform: просто установите Private_network_id с ресурсом Scaleway_k8s_cluster, чтобы запустить миграцию.
  • Нет PNID => PNID: переводит кластер в частный
  • PNID a => PNID b: предупреждение, затем принудительное создание нового кластера.
Пожалуйста, внимательно выбирайте частную сеть.
  • После подключения кластера к частной сети вы не сможете отменить эту миграцию.
  • Кластер невозможно переместить в другую частную сеть после миграции.
  • Частную сеть невозможно отключить.