Виртуальный роутер позволяет организовать сетевую архитектуру Kubernetes-кластера без использования публичных IP-адресов на воркер-нодах. В этом случае внешний доступ к сервисам настраивается централизованно — через Ingress или балансировщики нагрузки.
Основные преимущества:
- Экономия — воркеры не используют публичные IP.
- Повышенная безопасность — нет прямого доступа к воркер-нодам из интернета.
- Централизованная точка входа — внешний трафик проходит только через балансировщики или Ingress.
- Более гибкая архитектура — воркер-ноды не привязаны к внешним IP и могут пересоздаваться без изменения сетевой схемы.
При такой конфигурации инфраструктура становится более декларативной: сетевые правила и точки входа описываются на уровне кластера, а сами ноды остаются «эфемерными» ресурсами.
Ограничения
Перед настройкой обратите внимание на ограничения и особенности работы виртуальных роутеров:
- Поддержка доступна только в локациях Санкт-Петербург, Москва и Амстердам.
- К одному кластеру может быть подключен только один виртуальный роутер.
- Один виртуальный роутер может использоваться несколькими Kubernetes-кластерами, если они находятся в одной приватной сети.
- Роутер и кластер должны находиться в одной приватной сети.
- В настройках виртуального роутера должен быть включен DHCP для приватной сети.
- У виртуального роутера должен быть подключен публичный IP и настроен NAT для приватной сети.
- Для каждой группы воркер-нод обязательно должен быть выбран один из вариантов сетевого подключения: использование публичных IP или использование виртуального роутера.
Подключение роутера при создании кластера
Вы можете подключить виртуальный роутер на этапе создания нового кластера.
Опция «Публичный IP» на этапе конфигурации воркер-нод отключена по умолчанию. Если оставить ее выключенной, на этапе настройки сети появится возможность выбрать существующий виртуальный роутер или создать новый.
Если в выбранной приватной сети нет подходящего роутера, он будет создан автоматически. При необходимости вы можете изменить параметры нового роутера, нажав кнопку «Изменить параметры».
Если при настройке кластера выбран новый роутер, создание кластера может занять немного больше времени — сначала будет создан виртуальный роутер, и только после этого начнется развертывание кластера.
Подключение роутера к существующему кластеру
Чтобы подключить виртуальный роутер к уже созданному кластеру, перейдите во вкладку «Сеть». В строке «Интеграция с роутерами» нажмите кнопку «Подключить».
В открывшемся меню можно создать новый виртуальный роутер и сразу привязать его к кластеру либо выбрать уже существующий. В списке будут доступны только те роутеры, которые соответствуют требованиям: к ним подключен публичный IP, они находятся в одной приватной сети с кластером, а для этой сети включен DHCP.
После подтверждения настроек роутер будет подключен к кластеру и станет доступен для использования в группах воркер-нод.
Работа с воркер-нодами
К кластеру может быть подключен только один виртуальный роутер, но способ сетевого подключения настраивается отдельно для каждой группы воркер-нод. Вы можете выбрать: использовать виртуальный роутер или назначать публичный IP каждому воркеру.
Для изменения настроек откройте вкладку «Ресурсы». Начните создание новой группы, нажав «Добавить группы», либо откройте параметры существующей группы — нажмите на три точки рядом с нужной группой и выберите «Редактировать группу».
В открывшемся меню доступна настройка «Публичный IP». Если отключить ее, группа будет использовать виртуальный роутер. Если роутер еще не был подключен к кластеру, он создастся автоматически. Если включить «Публичный IP», виртуальный роутер для этой группы использоваться не будет, а каждой воркер-ноде будет назначен собственный публичный адрес.
Удаление виртуального роутера
Перед удалением виртуального роутера необходимо отвязать его от кластера. Пока роутер используется хотя бы одной группой воркер-нод, возможность удаления в панели управления будет недоступна.
Перейдите во вкладку «Ресурсы». Для каждой группы нажмите на три точки рядом с ее названием, выберите «Редактировать группу» и включите параметр «Публичный IP». После этого виртуальный роутер перестанет использоваться выбранной группой. Повторите действие для всех групп воркер-нод, в которых он был задействован.
Перейдите во вкладку «Ресурсы». Для удаления нажмите на три точки рядом с нужной группой и выберите «Удалить». Повторите действие для всех групп воркер-нод, использующих виртуальный роутер.
Когда роутер больше не используется воркерами, вернитесь во вкладку «Сеть». В строке «Интеграция с роутерами» станет активной кнопка «Отвязать» — нажмите ее, чтобы отключить роутер от кластера.
После отвязки откройте раздел «Сети» → «Роутеры», нажмите на три точки рядом с нужным роутером и выберите «Удалить». Кнопка удаления станет доступной сразу после отключения интеграции с кластером.
