8 minutos
No Kubernetes, entrada e saída se referem a como o tráfego de rede entra e sai de um ambiente de aplicações conteinerizadas nativas da nuvem.
Esses fluxos de tráfego são centrais para a execução de aplicações modernas dentro de uma infraestrutura em nuvem. Gerenciá-los de forma eficaz dá suporte a uma ampla gama de casos de uso, como rotear o tráfego de clientes para aplicações web ou acessar com segurança APIs de terceiros.
No mundo atual, orientado pela computação em nuvem, o Kubernetes sustenta cargas de trabalho cada vez mais críticas. Como resultado, a capacidade granular de controlar o tráfego se tornou essencial para manter o desempenho, aplicar medidas de segurança e atender a requisitos de conformidade.
O Kubernetes, também conhecido como k8s ou kube, é uma plataforma de orquestração de contêineres que automatiza a implementação, o escalonamento e a manutenção de aplicações em um conjunto de recursos de computação. Em vez de gerenciar servidores diretamente, equipes de DevOps e de TI usam o Kubernetes para executar aplicações em contêineres — unidades de software leves e autossuficientes que incluem tudo o que é necessário para rodar uma aplicação.
De acordo com um relatório da CNCF, o Kubernetes é o segundo maior projeto de código aberto do mundo (depois do Linux) e a principal ferramenta de orquestração de contêineres para 71% das empresas da Fortune 100.
O Docker é a ferramenta mais utilizada para criar imagens de contêiner. No Kubernetes, os contêineres são agrupados em unidades chamadas pods, que são as menores unidades implementáveis e podem conter um ou mais contêineres. O Kubernetes agenda esses pods em um cluster de máquinas conhecidas como nós.
Os pods e seus recursos relacionados são organizados em namespaces, que fornecem separação lógica para gerenciar diferentes equipes, projetos ou ambientes dentro do mesmo cluster. O Kubernetes lida com funcionalidades essenciais do cluster, como balanceamento de carga, failover, escalonamento e autorrecuperação, abstraindo grande parte da complexidade da infraestrutura de baixo nível.
Dentro de um cluster Kubernetes, os serviços frequentemente precisam se comunicar entre si e às vezes com sistemas externos. O Kubernetes gerencia e controla o tráfego de uma forma que isola os componentes internos para melhorar o desempenho e a segurança. Como resultado, tanto o tráfego de entrada quanto o de saída devem ser explicitamente definidos, gerenciados e configurados.
Em ciência da computação básica, ingress versus egress se refere ao tráfego de entrada versus saída em uma rede ou sistema. A entrada e a saída do Kubernetes fornecem às equipes de plataforma um framework controlado para definir como o tráfego entra e sai do cluster Kubernetes. Esse aspecto é essencial para operar ambientes de produção seguros e escaláveis.
A entrada refere-se ao tráfego de entrada de usuários ou sistemas externos em um cluster Kubernetes, geralmente por meio de HTTP ou HTTPS (ambos executados sobre o protocolo TCP). Em vez de expor cada serviço diretamente à internet, as organizações definem regras de entrada por meio de um recurso de Ingress. Esse recurso normalmente é escrito em YAML, que instrui o Kubernetes sobre como rotear o tráfego com base em critérios como caminhos de URL ou nomes de domínio.
As regras de entrada são aplicadas por um controlador de entrada — um software (geralmente baseado em NGINX ou outro proxy reverso) que atua como o ponto real de entrada. O controlador recebe as solicitações de entrada, descriptografa o tráfego quando necessário e o encaminha para o serviço correto dentro do cluster.
Por exemplo, regras de entrada podem ser configuradas para:
O Kubernetes oferece vários métodos internos para expor serviços fora do cluster. O recurso de entrada funciona com determinados tipos de serviços, mas oferece uma abordagem mais flexível e centralizada, especialmente para tráfego baseado na web.
Aqui estão alguns dos tipos de serviço mais comuns:
Em comparação, o recurso de Ingress permite que múltiplos serviços sejam acessados por meio de um único endereço IP externo usando regras inteligentes de roteamento, baseadas em nomes de domínio ou caminhos. Ele centraliza o tratamento de HTTP(S) e o controle de tráfego, sendo uma opção robusta para cargas de trabalho em produção.
Egress se refere ao tráfego de saída — quando serviços dentro do cluster Kubernetes precisam se comunicar com destinos ou sistemas externos (por exemplo, APIs, serviços em nuvem, bancos de dados e assim por diante). Embora o Kubernetes permita tráfego de saída irrestrito por padrão, essa política aberta raramente é adequada para ambientes de produção.
As organizações geralmente querem controlar e monitorar quais serviços podem se conectar a endpoints externos, tanto por motivos de segurança quanto de conformidade. Por exemplo, uma empresa de varejo pode querer que seu serviço de pagamento acesse apenas gateways de pagamento aprovados e bloqueie todos os outros destinos.
O Kubernetes fornece vários métodos para gerenciar a saída de forma eficaz e segura. Ao implementar esses controles, as organizações garantem que apenas o tráfego autorizado seja permitido para redes externas, aumentando assim a segurança e a conformidade.
As políticas de rede do Kubernetes podem restringir quais pods têm permissão para fazer conexões de saída e especificar os endereços ou domínios que podem ser acessados — frequentemente usando notação CIDR para intervalos de IP. Essas políticas dão suporte a modelos de zero trust, permitindo apenas comunicações explicitamente autorizadas. As regras de saída dentro dessas políticas de rede definem restrições de tráfego de saída, controlando quais destinos externos os pods podem acessar.
Gateways de saída, muitas vezes implementados como parte de um service mesh, podem rotear todo o tráfego de saída por um ponto de controle monitorado, viabilizando controle avançado de tráfego, criptografia e observabilidade.
Nós de saída dedicados ou gateways NAT também podem ser usados para centralizar e registrar conexões de saída, oferecendo rastreabilidade e melhor isolamento de desempenho.
