Réseau Kubernetes — Vue d'ensemble

Le réseau Kubernetes gère la connectivité entre pods, entre services, et depuis l’extérieur du cluster.

Composants réseau couverts

Composant	Rôle	Note
ingress-nginx	Reverse proxy HTTP/HTTPS — routage entrant vers les Services	ingress-nginx
cilium	Plugin CNI (eBPF) — réseau des pods + NetworkPolicies L7 + observabilité	cilium
cert-manager	Gestion automatique des certificats TLS (Let’s Encrypt, CA privée)	cert-manager
kube-proxy	Règles iptables/eBPF pour implémenter les Services (ClusterIP, NodePort, LB)	kube-proxy

Comment le trafic entre dans le cluster

Internet
   │
   ▼  DNS → IP du Load Balancer cloud (AWS ALB / NLB)
   │
   ▼  Load Balancer externe (cloud-controller-manager le crée)
   │
   ▼  NodePort ou service type LoadBalancer
   │
   ▼  ingress-nginx (Ingress Controller)
      │  ← lit les ressources Ingress
      │  ← termine TLS (cert-manager fournit le certificat)
      │  ← route par Host / path
      ▼
   Service Kubernetes (ClusterIP)
      │
      ▼  kube-proxy (règles iptables/eBPF)
      │
      ▼  Pod applicatif

Réseau interne des pods (CNI)

Pod A (10.244.1.5)  ←──── CNI (Cilium) ────►  Pod B (10.244.2.8)
                              │
                    NetworkPolicy L3/L4/L7
                    (autoriser/bloquer par label, namespace, port)

Chaque pod obtient une IP unique dans le cluster. Les pods peuvent se joindre directement par IP, sans NAT.

Types de Services Kubernetes

Type	Accessibilité	Mécanisme
ClusterIP	Interne au cluster uniquement	IP virtuelle + kube-proxy
NodePort	Via `<NodeIP>:<port>` depuis l’extérieur	Ouvre un port sur chaque nœud
LoadBalancer	IP externe (cloud)	cloud-controller-manager crée le LB
ExternalName	Alias DNS vers un FQDN externe	CoreDNS CNAME

TLS dans Kubernetes

cert-manager surveille les ressources Certificate / Issuer
       │
       ▼  ACME HTTP-01 ou DNS-01 (Let's Encrypt)
       │  ou CA privée interne
       ▼
   Secret Kubernetes (type: kubernetes.io/tls)
       │
       ▼  ingress-nginx monte le secret → termine TLS

En relation avec

Synthèse des composants Kubernetes — vue d’ensemble du cluster
Nœuds — Vue d’ensemble — kube-proxy côté nœud
Proxy — Vue d’ensemble — ingress-nginx est un reverse proxy
TLS et SSL — handshake TLS, mTLS
Certificats — Vue d’ensemble — structure des certificats utilisés par cert-manager
Let’s Encrypt et ACME — protocole utilisé par cert-manager

abla.adem

Recent Notes

Agents — Vue d'ensemble

Agents autonomes

Prompt Engineering — Vue d'ensemble

CARE

Explorer