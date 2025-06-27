8 minutes
Dans Kubernetes, les termes « entrée » et « sortie » désignent la manière dont le trafic réseau entre et sort d’un environnement applicatif conteneurisé cloud natif.
Ces flux de trafic sont essentiels au bon fonctionnement des applications modernes dans une infrastructure cloud. Une gestion efficace prend en charge un large éventail de cas d’utilisation, tels que le routage du trafic client vers des applications Web ou l’accès sécurisé à des API tierces.
Dans le monde actuel axé sur le cloud computing, Kubernetes alimente des workloads de plus en plus critiques. Par conséquent, la capacité granulaire à contrôler le trafic est devenue essentielle pour préserver les performances, appliquer les mesures de sécurité et respecter les exigences de conformité.
Également appelé k8s ou kube, Kubernetes est une plateforme d’orchestration de conteneurs qui automatise le déploiement, la mise à l’échelle et la maintenance des applications sur un pool de ressources informatiques. Au lieu de gérer directement les serveurs, les équipes DevOps et informatiques utilisent Kubernetes pour exécuter des applications dans des conteneurs, des unités logicielles légères et autonomes qui disposent de tout le nécessaire pour exécuter une application.
Selon un rapport du CNCF, Kubernetes est le deuxième plus grand projet open source au monde (après Linux) et le principal outil d’orchestration de conteneurs pour 71 % des entreprises du Fortune 100.
Docker est l’outil le plus utilisé pour créer des images de conteneurs. Dans Kubernetes, les conteneurs sont regroupés en unités appelées pods, qui sont les plus petites unités déployables et peuvent contenir un ou plusieurs conteneurs. Kubernetes organise ces pods sur un cluster de machines appelées nœuds.
Les pods et leurs ressources associées sont organisés en espaces de noms, qui fournissent une séparation logique pour la gestion de différents projets, équipes ou environnements au sein d’un même cluster. Kubernetes gère les fonctionnalités clés du cluster, telles que l’équilibrage de charge, le basculement, la mise à l’échelle et l’auto-réparation, en éliminant une grande partie de la complexité de l’infrastructure de bas niveau.
Les services au sein d’un cluster Kubernetes doivent souvent communiquer entre eux, et parfois avec des systèmes externes. Kubernetes gère et contrôle le trafic de manière à isoler les composants internes afin d’améliorer les performances et la sécurité. C’est pourquoi le trafic entrant et sortant doit être explicitement défini, géré et configuré.
En informatique, les termes « entrée » et « sortie » désignent respectivement le trafic entrant et sortant d’un réseau ou d’un système. Les fonctions d‘entrée et de sortie de Kubernetes fournissent aux équipes de plateforme un cadre contrôlé pour régir la manière dont le trafic entre et sort du cluster Kubernetes. Cet aspect est essentiel pour exploiter des environnements de production à la fois sécurisés et évolutifs.
L’entrée désigne le trafic entrant provenant d’utilisateurs ou de systèmes externes vers un cluster Kubernetes, généralement via HTTP ou HTTPS (opérant tous deux sur le protocole TCP). Plutôt que d’exposer directement chaque service à Internet, les entreprises définissent des règles d’entrée via une ressource Ingress. Cette dernière est généralement écrite en YAML, qui indique à Kubernetes comment acheminer le trafic en fonction de critères tels que les chemins d’URL ou les noms de domaine.
Les règles d’entrée sont appliquées par un contrôleur d’entrée, un logiciel (souvent basé sur NGINX ou un autre proxy inverse) qui sert de point d’entrée réel. Le contrôleur reçoit les demandes entrantes, décrypte le trafic si nécessaire et le transmet au service concerné au sein du cluster.
Les règles d’entrée peuvent être configurées pour :
Kubernetes fournit plusieurs méthodes intégrées pour exposer des services en dehors du cluster. La ressource Ingress fonctionne avec certains types de services, mais offre une approche plus flexible et centralisée, en particulier pour le trafic Web.
Voici quelques-uns des types de services les plus courants :
En comparaison, la ressource Ingress permet d’accéder à plusieurs services via une seule adresse IP externe à l’aide de règles de routage intelligentes, basées sur des noms de domaine ou des chemins d’accès. Elle centralise la gestion HTTP(S) et le contrôle du trafic, ce qui en fait un choix idéal pour les workloads de production.
La sortie fait référence au trafic sortant, c’est-à-dire lorsque les services au sein du cluster Kubernetes doivent communiquer avec des destinations ou des systèmes externes (tels que des API, des services cloud ou des bases de données). Bien que Kubernetes autorise le trafic sortant sans restriction par défaut, cette politique ouverte est rarement propice aux environnements de production.
Pour des raisons de sécurité et de conformité, les organisations veulent généralement contrôler et surveiller les services qui peuvent se connecter à des points de terminaison externes. Ainsi, une entreprise de vente au détail peut souhaiter que son service de paiement n’accède qu’aux passerelles de paiement approuvées et bloque toutes les autres destinations.
Kubernetes propose plusieurs méthodes pour gérer les sorties efficacement et en toute sécurité. En mettant en œuvre ces contrôles, les entreprises peuvent s’assurer que seul le trafic autorisé circule vers les réseaux externes, renforçant ainsi la sécurité et la conformité.
Les politiques réseau Kubernetes peuvent restreindre les pods autorisés à établir des connexions sortantes et spécifier les adresses ou les domaines auxquels ils peuvent accéder, souvent à l’aide de la notation CIDR pour les plages IP. Ces politiques prennent en charge les modèles Zero Trust en n’autorisant que les communications explicitement autorisées. Les règles de sortie de ces politiques réseau définissent les restrictions de trafic sortant, contrôlant les destinations externes auxquelles les pods peuvent accéder.
Souvent déployées dans le cadre d’un maillage de services, les passerelles de sortie peuvent acheminer tout le trafic sortant via un point de contrôle surveillé. Cela permet un contrôle du trafic, un chiffrement et une observabilité accrus.
Des nœuds de sortie dédiés ou des passerelles NAT peuvent également être employés pour centraliser et enregistrer les connexions sortantes, offrant ainsi une traçabilité et une isolation des performances améliorées.
