Conteneurs, Kubernetes, CNI et service mesh

Comprendre les réseaux de conteneurs et Kubernetes : namespaces réseau, bridges, CNI, Services, Ingress, NetworkPolicy, DNS de cluster, egress et service mesh.

Chapitre 29 Intermédiaire · Expert 28 pages

Objectif du chapitre

Comprendre les réseaux de conteneurs et Kubernetes : namespaces réseau, bridges, CNI, Services, Ingress, NetworkPolicy, DNS de cluster, egress et service mesh.

Notions à couvrir

namespace réseau Linux.
veth pair, bridge Linux, NAT.
Docker networking.
publication de ports.
overlay de conteneurs.
Pod, Service, ClusterIP, NodePort, LoadBalancer.
Ingress, Gateway API.
CoreDNS.
CNI.
NetworkPolicy.
service mesh.
mTLS de mesh.
egress gateway.
observabilité de cluster.
eBPF dans CNI.
sécurité est-ouest.

Sous-sections

Conteneurs et réseau Linux [Intermédiaire]

Expliquer namespace, veth, bridge, NAT et publication.
Relier conteneur local et orchestré.
Identifier ce qui est visible depuis l’hôte.

Modèle Kubernetes [Intermédiaire]

Décrire Pod IP, Service, Ingress, DNS et CNI.
Distinguer Service et load balancer externe.
Expliquer NetworkPolicy comme intention dépendante du CNI.

Sécurité et service mesh [Expert]

Segmenter les flux est-ouest.
Situer mTLS, identité de workload et egress gateway.
Diagnostiquer entre application, mesh, CNI et cloud.

Exemples et ateliers

Dessiner client → Ingress → Service → Pod.
Lire une NetworkPolicy simple.
Comparer filtrage cloud, NetworkPolicy et service mesh.

Pièges classiques

Croire que toute NetworkPolicy est appliquée.
Confondre Service Kubernetes et service applicatif.
Exposer NodePort/LoadBalancer sans gouvernance.

À ne pas confondre

CNI et service mesh.
Ingress et load balancer cloud.
Pod IP et IP de nœud.

Points à vérifier

à vérifier : statut Gateway API, eBPF et CNI.
à vérifier : exemples compatibles cluster cible.