From 27ab321bfb29e0ac01efa904f0a226168311749e Mon Sep 17 00:00:00 2001 From: kappa Date: Wed, 25 Mar 2026 16:20:00 +0900 Subject: [PATCH] =?UTF-8?q?HAProxy=20APISIX=209080/9443=20=ED=94=84?= =?UTF-8?q?=EB=A1=A0=ED=8A=B8=EC=97=94=EB=93=9C=20=EC=B6=94=EA=B0=80,=20in?= =?UTF-8?q?fra-hosts=20Traefik=20=EC=A0=84=ED=99=98=20=EB=B0=98=EC=98=81?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- infra/apisix.md | 7 ++++++- infra/infra-hosts.md | 15 ++++++++------- 2 files changed, 14 insertions(+), 8 deletions(-) diff --git a/infra/apisix.md b/infra/apisix.md index bbbc13d..0058d5e 100644 --- a/infra/apisix.md +++ b/infra/apisix.md @@ -39,13 +39,18 @@ BunnyCDN(inouter, ID 5316471) → apisix-osaka(172.233.93.180) → 백엔드 ### 서울 (K3s 새 클러스터, apisix 네임스페이스) — SafeLine WAF 전용 ``` -SafeLine WAF → APISIX(replica 1) → K3s 서비스 +외부 → OpenWrt HAProxy(:9080/:9443) → NodePort(30233/31137, 3노드 roundrobin) → APISIX(replica 1) → K3s 서비스 ``` - 용도: SafeLine WAF 전용 리버스 프록시 (메인 라우팅은 Traefik으로 이전) - 클러스터: K3s 새 클러스터 (Supabase PostgreSQL 백엔드, kr2+kr1+hp2) - 배포: K3s apisix 네임스페이스, **Deployment replica 1** (축소됨) - APISIX: 3.15.0-ubuntu +- SafeLine WAF 연동: `plugin_attr.chaitin-waf` → `safeline-detector:8000` (10.43.253.244) +- global_rules: `chaitin-waf` (mode: block) + `limit-req` (rate 20, burst 10) +- 서비스: apisix-gateway NodePort (80→9080, 443→9443, NodePort 30233/31137) - etcd: apisix-etcd StatefulSet (K3s 내부) +- Admin API: `apisix-admin` ClusterIP :9180 (라우트/upstream/SSL 수동 관리) +- HAProxy: OpenWrt에서 :9080→30233, :9443→31137 (3노드 roundrobin) - 2026-03-25 메인 라우팅 역할을 Traefik으로 이전, APISIX는 SafeLine WAF 전용으로 축소 - Ingress Controller + Gateway API CRD 제거됨 (GatewayProxy 모드에서 ApisixRoute CRD 미지원, HTTPRoute에 플러그인 개별 적용 불가 문제) diff --git a/infra/infra-hosts.md b/infra/infra-hosts.md index ccdfacc..5fecc74 100644 --- a/infra/infra-hosts.md +++ b/infra/infra-hosts.md @@ -17,7 +17,7 @@ tags: [infra, network, kr-zone, openwrt] | incus-kr1 | 100.84.111.28 | Incus+K3s 호스트 (서울) | GTX 1080 Ti, K3s control-plane (LAN 192.168.9.214), default 프로젝트 | | incus-kr2 | 100.119.109.41 | Incus+K3s 호스트 (서울) | K3s control-plane (LAN 192.168.9.135), default, inbest 프로젝트 | | incus-hp2 | 100.100.52.34 | Incus+K3s 호스트 (서울) | Xeon E5-2670 32코어, 188GB RAM, K3s control-plane (LAN 192.168.9.134), default, inbest 프로젝트 | -| openwrt-gw | 100.66.60.66 | OpenWrt 라우터 (서울) | HAProxy: 80/443 → APISIX hostNetwork 9080/9443 (3노드 roundrobin) | +| openwrt-gw | 100.66.60.66 | OpenWrt 라우터 (서울) | HAProxy: 80/443 → Traefik hostPort (3노드), 9080/9443 → APISIX NodePort 30233/31137 (3노드) | | sandbox-tokyo | 100.79.87.48 | 테스트 서버 (도쿄, Linode) | vault-prod, wg-easy, nginx-tcp-proxy (Docker) | | relay4wd | 100.103.161.4 | APISIX Gateway (서울, AWS Lightsail) | inbest 전용, Docker APISIX 3.15.0, Debian 12, nano $5/월, SSH: admin + lightsail.pem | | synology | LAN 192.168.9.100 / 192.168.205.100 (2.5G) | NAS (시놀로지) | Tailscale 미사용, LAN 접근 | @@ -34,13 +34,14 @@ tags: [infra, network, kr-zone, openwrt] 주요 네임스페이스: anvil, apisix, argocd, cert-manager, db, gitea, ironclad, kroki, longhorn-system, monitoring, mq, openmemory, rabbitmq-system, safeline, system-upgrade, tools, vault -게이트웨이: APISIX 단독 (Traefik 완전 제거, 2026-03-25) -- APISIX Deployment replicas 3, hostPort 9080/9443 바인딩 -- apisix-gateway Service: 80→9080, 443→9443 -- APISIX Ingress Controller 2.0.1 + Gateway API 기반 CRD 라우팅 -- CoreDNS hairpin rewrite: apisix-gateway.apisix.svc.cluster.local +게이트웨이: Traefik (메인) + APISIX (SafeLine WAF 전용), 2026-03-25 전환 +- Traefik DaemonSet, hostPort 80/443 + Gateway API +- APISIX Deployment replica 1, SafeLine WAF chaitin-waf 플러그인 연동, Admin API 수동 관리 +- CoreDNS hairpin rewrite: traefik.kube-system.svc.cluster.local -트래픽 흐름: 외부 → OpenWrt HAProxy (TCP 80/443) + nftables (UDP 443) → APISIX hostPort (9080/9443, 3노드) → K3s 서비스 → pods +트래픽 흐름: +- 일반: 외부 → OpenWrt HAProxy(:80/:443) → Traefik hostPort(80/443, 3노드) → K3s 서비스 +- WAF: 외부 → OpenWrt HAProxy(:9080/:9443) → APISIX NodePort(30233/31137, 3노드) → K3s 서비스 ### Helm 릴리스