FortiGate als Loadbalancer für Kubernetes

Durchstellen bitte!

von Konstantin Agouros

Kubernetes hat sich als Standardplattform zum containerbasierten Applikationsbetrieb etabliert. Die Container laufen in der Regel in einem privaten Adressraum und werden bei jedem Neustart auf einen freien Host verteilt. Diese Dynamik macht es für Drittanwendungen allerdings mitunter schwer, eine Netzwerkverbindung herzustellen. Wir zeigen, wie Sie eine FortiGate-Firewall als Loadbalancer einsetzen und so gleichzeitig für Erreichbarkeit und
Sicherheit sorgen.

Aus IT-Administrator 11/2021

Die Zusammenarbeit in Unternehmen steht seit anderthalb Jahren auf dem Kopf. Entsprechend groß sind die Herausforderungen für die IT-Abteilungen. In der ... (mehr)

Firewalls von Fortinet verfügen über SDN-Konnektoren und lassen sich so mit diversen externen Komponenten wie OpenStack, Public-Cloud-Providern wie AWS oder Google oder eben auch Kubernetes koppeln. Außerdem bieten die FortiGate-Modelle einen Loadbalancer, der über die genannten Konnektoren an die privaten IP-Adressen der Container kommen kann, um diese ins Routing zu integrieren. Damit die Firewall als Loadbalancer jedoch weiß, an welchen physischen Host sie die Pakete für den entsprechenden Dienst schicken soll, fehlt eine letzte Komponente, die die Zuordnung der laufenden Kubernetes-Pods zu den physischen Hosts schafft. Hier kommt das Netzwerk-Plug-in "Calico" von Tigera zum Einsatz. Es ermöglicht, die gewünschte Information über das Border Gateway Protocol (BGP) zu exportieren – damit ist das Routing zu den einzelnen Kubernetes-Pods gesichert. Der Vorteil dieses Konstrukts ist, dass ein Netzwerkgerät die Pakete verteilt. Zum anderen lassen sich sämtliche Sicherheitsfunktionen vorschalten, die die Firewall bietet, um den Dienst so vor Angriffen zu schützen.