Filtrage des flux réseaux issus des clusters Kubernetes : pourquoi, comment ?

Le filtrage du trafic entrant (ingress) dans un cluster Kubernetes est un sujet bien connu .
Ce qui l'est moins, c'est le filtrage du trafic sortant (egress) et notamment sous quelles conditions on peut le filtrer lors de sa transmission vers le reste du SI (API, base de données, stockage de données persistant...).

Nous expliquerons pourquoi ce filtrage est nécessaire, et après un bref rappel des topologies réseaux communes, comment l'effectuer via les méthodes suivantes :
• Egress Network Policy
• Affectation d'adresses IP discernables (IPAM) par pod ou namespace
• Secure Egress Gateway

Nous réaliserons des démonstrations avec le CNI plugin ProjectCalico.