Kubernetes

En environnement professionnel, les bases de données Azure (PostgreSQL, MySQL, SQL Server…) sont souvent exposées uniquement via un Private Endpoint : elles ne sont accessibles qu’au sein du réseau privé Azure, sans aucune IP publique. Résultat : depuis son poste de développement, il est impossible de s’y connecter directement avec un client comme DBeaver ou psql. Pourtant, le cluster AKS (Azure Kubernetes Service) qui tourne dans le même VNet, lui, y a accès. Ce guide explique comment exploiter ce fait pour créer un tunnel sécurisé jusqu’à la base, sans modifier les règles réseau ni ouvrir le moindre port public. ...

Les Private Endpoints Azure attachent un service managé (PostgreSQL, Key Vault, Storage…) au réseau privé via une IP interne. Le problème : pour que les pods AKS puissent résoudre le FQDN de cette ressource vers son IP privée plutôt que vers son IP publique, il faut configurer correctement les zones DNS privées et les Virtual Network Links. Architecture du problème Quand Azure crée un Private Endpoint pour, par exemple, un PostgreSQL Flexible Server, il crée automatiquement une zone DNS privée du type privatelink.postgres.database.azure.com. Cette zone contient un enregistrement A qui mappe le FQDN du serveur vers l’IP privée du Private Endpoint. ...

Les Taints et Tolerations permettent de repousser des pods depuis certains nodes. C’est le mécanisme inverse de la Node Affinity (qui attire les pods). Les deux sont complémentaires et sont même nécéssaires pour une application en production. Le principe Une Taint est posée sur un node : elle signale que ce node n’accepte pas de pods par défaut. Une Toleration est déclarée dans un pod : elle lui permet de tolérer une Taint spécifique et d’être schedulé sur ce node. ...