LB에서 Pod까지의 Flow 관련 질문

Question

안녕하세요 질문이 있어 글 올립니다. LB를 생성 후 외부 IP를 부여 받은 상황에서 client가 LB의 외부IP:80으로 요청을 하면 traffic flow가 LB:80 > NodeIP:NodePort > Iptables > DNAT > Pod 로 도착하는게 맞나요? (kube-proxy 모드는 iptables 라고 가정했을시) 아니면 CNI PlugIN에 따라서 이 부분도 달라지나요? GKE에서 확인했을떄 GCP에서 제공하는 Firewall에서는 NodePort관련해서 Open되어있지 않은상황이며 (open되어있지 않아도 pod까지 연결이 잘되는 상황입니다.) LB:80 > NodeIP:80 > Iptables > DNAT > Pod 이러한 흐름으로 pod까지 연결되는것 같은데 (방화벽은 기본 all deny인 상태입니다. ) 이런식으로도 흘러갈 수 있는지가 궁금합니다!

Doyoung Kim · Answer

넵 답변 감사합니다!

일프로 · Answer

잘 파악하신거 같아서 제가 딱히 드릴말씀이 없네요 ㅎㅎ 그런 flow로 트래픽이 전달되는게 맞고요 DNAT에 대한 매커니즘만 CNI plugin에 따라 달라집니다 Lb와 nodeport간에 방화벽에 대한 부분은 클라우드 서비스마다 정책이 다른데 제가 gcp를 해보지 않아서 정확한 답변을 드리기 힘든점 양해부탁드립니다