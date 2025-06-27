8 Minuten
In Kubernetes beziehen sich Ingress und Egress darauf, wie der Netzwerkverkehr in eine cloudnative containerisierte Anwendungsumgebung eintritt und diese verlässt.
Diese Datenströme sind für die Ausführung moderner Anwendungen innerhalb der Cloud-Infrastruktur von zentraler Bedeutung. Ihre effektive Verwaltung unterstützt eine breite Palette von Anwendungsfällen, wie z. B. die Weiterleitung des Kundendatenverkehrs an Apps oder den sicheren Zugriff auf APIs von Drittanbietern.
In der heutigen, von Cloud Computinggeprägten Welt unterstützt Kubernetes immer kritischere Workloads. Daher ist die granulare Kontrolle des Datenverkehrs für die Aufrechterhaltung der Leistung, die Durchsetzung von Sicherheitsmaßnahmen und die Erfüllung von Compliance-Anforderungen unerlässlich geworden.
Kubernetes, auch bekannt als k8s oder kube, ist eine Container-Orchestrierungsplattform, die die Bereitstellung, Skalierung und Wartung von Anwendungen über einen Pool von Computerressourcen hinweg automatisiert. Anstatt Server direkt zu verwalten, verwendenDevOps- und IT-Teams Kubernetes, um Anwendungen in Containern auszuführen – leichte, eigenständige Softwareeinheiten, die alles enthalten, was zur Ausführung einer Anwendung erforderlich ist.
Laut einem CNCF-Bericht ist Kubernetes das zweitgrößte Open-Source-Projekt der Welt (nach Linux) und das primäre Container-Orchestrierungstool für 71 % der Fortune-100-Unternehmen.
Docker ist das am weitesten verbreitete Tool zur Erstellung von Container-Images. In Kubernetes werden Container in Einheiten gruppiert, die als Pods bezeichnet werden. Diese Einheiten sind die kleinsten bereitstellbaren Einheiten und können einen oder mehrere Container enthalten. Kubernetes verteilt diese Pods auf einen Cluster von Maschinen, die als Nodes bezeichnet werden.
Pods und ihre zugehörigen Ressourcen sind in Namespaces organisiert, die eine logische Trennung für die Verwaltung verschiedener Teams, Projekte oder Umgebungen innerhalb desselben Clusters bieten. Kubernetes übernimmt wichtige Cluster-Funktionen wie Lastausgleich, Failover, Skalierung und automatische Fehlerbehebung und abstrahiert einen Großteil der Komplexität der Infrastruktur auf niedriger Ebene.
Innerhalb eines Kubernetes-Clusters müssen Services oft miteinander und manchmal mit externen Systemen kommunizieren. Kubernetes verwaltet und kontrolliert den Datenverkehr so, dass interne Komponenten isoliert werden, um die Leistung und Sicherheit zu verbessern. Daher muss sowohl der ein- als auch der ausgehende Datenverkehr explizit definiert, verwaltet und konfiguriert werden.
In der Grundlageninformatik bezieht sich der Begriff „Ingress versus Egress“ auf den ein- und ausgehenden Datenverkehr in einem Netzwerk oder System. Kubernetes-Ingress und -Egress bieten Plattformteams ein kontrolliertes Framework zur Steuerung des Datenverkehrs in und aus dem Kubernetes-Cluster. Dieser Aspekt ist essentiell für den Betrieb sicherer und skalierbarer Produktionsumgebungen.
Ingress bezieht sich auf eingehenden Datenverkehr von externen Benutzern oder Systemen in einen Kubernetes-Cluster, in der Regel über HTTP oder HTTPS (beide werden auf dem TCP-Protokoll ausgeführt). Anstatt jeden Dienst direkt für das Internet verfügbar zu machen, definieren Unternehmen Eingangsregeln über eine Ressource. Diese Ressource wird in der Regel in YAML geschrieben, das Kubernetes anweist, wie der Datenverkehr basierend auf Kriterien wie URL-Pfaden oder Domainnamen weitergeleitet werden soll.
Ingress-Regeln werden von einem Ingress-Controller durchgesetzt – einer Software (oft basierend auf NGINX oder einem anderen Reverse-Proxy), die als eigentlicher Einstiegspunkt dient. Der Controller empfängt eingehende Anfragen, entschlüsselt den Datenverkehr bei Bedarf und leitet ihn an den richtigen Service innerhalb des Clusters weiter.
Eingangsregeln können z. B. so konfiguriert werden, dass sie Folgendes tun:
Kubernetes bietet mehrere integrierte Methoden zum Bereitstellen von Services außerhalb des Clusters. Die Ingress-Ressourcen funktionieren mit bestimmten Servicetypen, bieten aber einen flexibleren und zentralisierten Ansatz, insbesondere für webbasierten Datenverkehr.
Hier sind einige der gängigsten Servicetypen:
Im Vergleich ermöglicht die Ingress-Ressource den Zugriff auf mehrere Dienste über eine einzige externe IP-Adresse, indem intelligente Routing-Regeln verwendet werden, die auf Domainnamen oder Pfaden basieren. Es zentralisiert die HTTP(S)-Verarbeitung und die Datenverkehrskontrolle und ist damit eine gute Wahl für Produktionsworkloads.
Egress bezieht sich auf ausgehenden Datenverkehr, d. h. wenn Dienste innerhalb des Kubernetes-Clusters mit externen Datenverkehrszielen oder Systemen (z. B. APIs, Cloud-Diensten, Datenbanken usw.) kommunizieren müssen. Während Kubernetes standardmäßig uneingeschränkten ausgehenden Datenverkehr zulässt, ist diese offene Richtlinie für Produktionsumgebungen selten geeignet.
In der Regel sind Unternehmen aus Sicherheits- und Compliance-Gründen daran interessiert, zu kontrollieren und zu überwachen, welche Dienste eine Verbindung zu externen Endpunkten herstellen können. Beispielsweise könnte ein Einzelhandelsunternehmen wünschen, dass sein Zahlungsdienst nur zugelassene Zahlungsgateways erreicht und alle anderen Ziele blockiert.
Kubernetes bietet mehrere Methoden für die effektive und sichere Verwaltung des Datenausgangs. Durch die Implementierung dieser Kontrollen können Unternehmen sicherstellen, dass nur autorisierter Datenverkehr zu externen Netzwerken fließen kann, und so die Sicherheit und Compliance verbessern.
Kubernetes-Netzwerkrichtlinien können einschränken, welche Pods ausgehende Verbindungen herstellen dürfen, und die Adressen oder Domänen angeben, die sie erreichen können, häufig unter Verwendung der CIDR-Notation für IP-Bereiche. Diese Richtlinien unterstützen Zero-Trust-Modelle, indem sie nur explizit autorisierte Kommunikation zulassen. Die Ausgangsregeln innerhalb dieser Netzwerkrichtlinien definieren Beschränkungen für den ausgehenden Datenverkehr und steuern, auf welche externen Ziele Pods zugreifen können.
Egress-Gateways, die häufig als Teil eines Service Mesh bereitgestellt werden, können den gesamten ausgehenden Datenverkehr durch einen überwachten Kontrollpunkt leiten und so eine erweiterte Datenverkehrskontrolle, Verschlüsselung und Observability ermöglichen.
Spezielle Egress-Knoten oder NAT-Gateways können ebenfalls verwendet werden, um ausgehende Verbindungen zu zentralisieren und zu protokollieren, wodurch Rückverfolgbarkeit und eine verbesserte Leistungsisolierung gewährleistet werden.
