Επίλυση ζητημάτων πρόσβασης δικτύου για τα λοβό K3S στο Rancher

Επίλυση ζητημάτων πρόσβασης δικτύου για τα λοβό K3S στο Rancher
Επίλυση ζητημάτων πρόσβασης δικτύου για τα λοβό K3S στο Rancher
Jules David
Τρίτη, 18 Φεβρουαρίου 2025 - 5:44:25 μ.μ.

Κατανόηση των περιορισμών δικτύου POD σε K3s 🛜

Κατά τη δημιουργία ενός συμπλέγματος Kubernetes με κτηνοτρόφο και K3S, η δικτύωση μπορεί να γίνει μια σημαντική πρόκληση. Ένα κοινό ζήτημα προκύπτει όταν οι κόμβοι των εργαζομένων μπορούν να φτάσουν σε εξωτερικά δίκτυα, αλλά τα λοβό που τρέχουν μέσα σε αυτούς τους κόμβους περιορίζονται. Αυτό μπορεί να είναι απογοητευτικό, ειδικά όταν οι κόμβοι σας έχουν τις κατάλληλες διαδρομές ρυθμισμένες, αλλά τα λοβό σας παραμένουν απομονωμένα.

Αυτό το σενάριο συναντάται συχνά σε περιβάλλοντα όπου οι κόμβοι των εργαζομένων αποτελούν μέρος μιας ευρύτερης αρχιτεκτονικής δικτύου. Για παράδειγμα, οι κόμβοι των εργαζομένων σας μπορεί να ανήκουν στο υποδίκτυο 192.168.1.x και να έχουν πρόσβαση σε ένα άλλο υποδίκτυο, όπως το 192.168.2.x, μέσω στατικών διαδρομών. Ωστόσο, τα λοβό που τρέχουν σε αυτούς τους κόμβους δεν είναι σε θέση να επικοινωνήσουν με μηχανήματα το 192.168.2.x.

Η πρόκληση εδώ έγκειται στον τρόπο με τον οποίο το Kubernetes διαχειρίζεται τη δικτύωση και τον τρόπο με τον οποίο η κυκλοφορία ρέει από τα λοβό σε εξωτερικούς προορισμούς. Χωρίς τη σωστή διαμόρφωση, τα POD θα μπορούσαν να έχουν πρόσβαση μόνο στους πόρους στο δίκτυο του κόμβου τους, αφήνοντας τα εξωτερικά μηχανήματα απρόσιτα. Η κατανόηση του γιατί αυτό συμβαίνει είναι ζωτικής σημασίας για την εξεύρεση λύσης.

Σε αυτό το άρθρο, θα διερευνήσουμε γιατί τα PODs αντιμετωπίζουν αυτούς τους περιορισμούς δικτύου και πώς να τους επιτρέψουν να έχουν πρόσβαση σε εξωτερικούς υποδίκους. Μέσα από πρακτικά βήματα και παραδείγματα πραγματικού κόσμου, θα σας βοηθήσουμε να γεφυρώσετε αυτό το χάσμα συνδεσιμότητας. Ας βουτήξουμε! 🚀

Εντολή Παράδειγμα χρήσης
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE Προσθέτει έναν κανόνα NAT (μετάφραση διεύθυνσης δικτύου) για να επιτρέψει στα pods να επικοινωνούν με εξωτερικά δίκτυα μεταμφιέζοντας την πηγή τους IP.
echo 1 >echo 1 > /proc/sys/net/ipv4/ip_forward Επιτρέπει την προώθηση της IP, επιτρέποντας τα πακέτα από ένα δίκτυο να δρομολογούνται σε άλλο, το οποίο είναι απαραίτητο για την επικοινωνία cross-subnet.
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0 Προσθέτει με μη αυτόματο τρόπο μια στατική διαδρομή, κατευθύνοντας την κυκλοφορία στο δίκτυο 192.168.2.x μέσω της πύλης 192.168.1.1.
iptables-save >iptables-save > /etc/iptables/rules.v4 Εμίνει κανόνες iptables, ώστε να παραμένουν ενεργοί μετά από επανεκκίνηση του συστήματος.
systemctl restart networking Επανεκκινεί την υπηρεσία δικτύωσης για την εφαρμογή πρόσφατα διαμορφωμένων διαδρομών και κανόνων τείχους προστασίας.
hostNetwork: true Μια διαμόρφωση POD Kubernetes που επιτρέπει σε ένα δοχείο να μοιράζεται το δίκτυο του κεντρικού υπολογιστή, παρακάμπτοντας τους περιορισμούς δικτύωσης εσωτερικού συμπλέγματος.
securityContext: { privileged: true } Χορηγεί ένα kubernetes container αυξημένα δικαιώματα, επιτρέποντάς του να τροποποιήσει τις ρυθμίσεις δικτύωσης στο μηχάνημα κεντρικού υπολογιστή.
ip route show Εμφανίζει τον τρέχοντα πίνακα δρομολόγησης, βοηθώντας τα θέματα σύνδεσης εντοπισμού σύνδεσης μεταξύ των υποδικτύων.
command: ["sh", "-c", "ping -c 4 192.168.2.10"] Εκτελεί μια βασική δοκιμή συνδεσιμότητας δικτύου μέσα σε ένα Kubernetes Pod για να επαληθεύσει την εξωτερική πρόσβαση.
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >>echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces Προσθέτει μια επίμονη στατική διαδρομή στο αρχείο διαμόρφωσης δικτύου του συστήματος, εξασφαλίζοντας ότι παραμένει μετά από επανεκκίνηση.

Εξασφάλιση συνδεσιμότητας διασταυρούμενου δικτύου για λοβούς K3S

Κατά την ανάπτυξη K3S Με τον κτηνοτρόφο, τα θέματα δικτύωσης μπορούν να προκύψουν όταν τα POD πρέπει να επικοινωνούν με μηχανήματα εκτός του άμεσου υποδικτύου τους. Τα σενάρια παρείχαν τη διεύθυνση αυτό το πρόβλημα τροποποιώντας τους κανόνες δρομολόγησης και τη διαμόρφωση του NAT (μετάφραση διεύθυνσης δικτύου). Χρησιμοποιεί ένα σενάριο κλειδιού Iptables Για να εφαρμόσετε έναν κανόνα μεταμφίεσης, εξασφαλίζοντας ότι η κυκλοφορία του POD φαίνεται να προέρχεται από τον ίδιο τον κόμβο του εργαζόμενου. Αυτό επιτρέπει σε εξωτερικές μηχανές να ανταποκρίνονται στα λοβό, ξεπερνώντας την προεπιλεγμένη απομόνωση του δικτύου.

Μια άλλη προσέγγιση περιλαμβάνει τη χειροκίνητη προσθήκη στατικών διαδρομών. Οι κόμβοι των εργαζομένων έχουν συχνά πρόσβαση σε άλλα δίκτυα μέσω στατικών διαδρομών, αλλά οι λοβοί Kubernetes δεν κληρονομούν αυτές τις διαδρομές από προεπιλογή. Εκτελώντας ένα σενάριο που προσθέτει ρητά μια διαδρομή στο 192.168.2.x μέσω της πύλης του κόμβου, βεβαιώνουμε ότι τα λοβό μπορούν να φτάσουν σε αυτά τα μηχανήματα. Αυτό είναι απαραίτητο σε περιβάλλοντα όπου πρέπει να επικοινωνούν πολλά εσωτερικά δίκτυα, όπως εταιρείες με ξεχωριστά VLAN για διαφορετικά τμήματα.

Για να αυτοματοποιήσετε τη διαδικασία, α Kubernetes daemonset μπορεί να αναπτυχθεί. Αυτό εξασφαλίζει ότι οι διαμορφώσεις δικτύωσης εφαρμόζονται με συνέπεια σε όλους τους κόμβους του συμπλέγματος. Το Daemonset εκτελεί ένα προνομιούχο δοχείο που εκτελεί εντολές δικτύωσης, καθιστώντας την κλιμακωτή λύση. Αυτή η μέθοδος είναι ιδιαίτερα χρήσιμη κατά τη διαχείριση ενός μεγάλου στόλου των κόμβων των εργαζομένων, όπου η διαμόρφωση με το χέρι κάθε κόμβου θα ήταν ανέφικτη. Φανταστείτε μια εφαρμογή που βασίζεται σε σύννεφο που χρειάζεται πρόσβαση σε μια βάση δεδομένων κληρονομιάς που φιλοξενείται σε ένα άλλο υποδίκτυο-αυτή η ρύθμιση εξασφαλίζει απρόσκοπτη συνδεσιμότητα.

Τέλος, η δοκιμή είναι ζωτικής σημασίας. Το παρεχόμενο σενάριο αναπτύσσει ένα απλό pod busybox που προσπαθεί να ping ένα εξωτερικό μηχάνημα. Εάν το ping πετύχει, επιβεβαιώνει ότι η σταθερότητα Fix λειτουργεί. Αυτός ο τύπος επαλήθευσης πραγματικού κόσμου είναι ανεκτίμητος σε περιβάλλοντα παραγωγής, όπου οι διαμορφώσεις σπασμένων δικτύων μπορούν να οδηγήσουν σε διαταραχές των υπηρεσιών. Συνδυάζοντας αυτές τις προσεγγίσεις-μη, στατικές διαδρομές, αυτοματοποίηση Kubernetes και ζωντανές δοκιμές-δημιουργούμε μια ισχυρή λύση για πρόσβαση σε διασταυρωμένο δίκτυο σε συστάδες K3S. 🚀

Εξασφάλιση συνδεσιμότητας POD σε εξωτερικά δίκτυα σε K3s

Χρησιμοποιώντας το iPtables για να διαμορφώσετε το NAT για επικοινωνία POD

#!/bin/bash
# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Add NAT rule to allow pods to access external networks
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE
# Persist iptables rule
iptables-save > /etc/iptables/rules.v4
# Restart networking service
systemctl restart networking

Επιτρέποντας στους λοβούς K3S να φτάσουν σε εξωτερικούς υποδίκους μέσω έγχυσης διαδρομής

Χρησιμοποιώντας στατικές διαδρομές και διαμορφώσεις CNI

#!/bin/bash
# Add a static route to allow pods to reach 192.168.2.x
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0
# Verify the route
ip route show
# Make the route persistent
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces
# Restart networking
systemctl restart networking

Χρησιμοποιώντας ένα kubernetes daemonset για την εφαρμογή κανόνων δικτύου

Ανάπτυξη ενός δαίμονα Kubernetes για τη διαμόρφωση της δικτύωσης κόμβων

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: k3s-network-fix
spec:
  selector:
    matchLabels:
      app: network-fix
  template:
    metadata:
      labels:
        app: network-fix
    spec:
      hostNetwork: true
      containers:
      - name: network-fix
        image: alpine
        command: ["/bin/sh", "-c"]
        args:
        - "ip route add 192.168.2.0/24 via 192.168.1.1"
        securityContext:
          privileged: true

Δοκιμή συνδεσιμότητας δικτύου από ένα pod

Χρησιμοποιώντας ένα kubernetes busybox pod για να επαληθεύσετε την πρόσβαση στο δίκτυο

apiVersion: v1
kind: Pod
metadata:
  name: network-test
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["sh", "-c", "ping -c 4 192.168.2.10"]
  restartPolicy: Never

Βελτιστοποίηση της δικτύωσης K3S για επικοινωνία πολλαπλών υποβιβαστών

Μια κρίσιμη αλλά συχνά παραβλέπεται πτυχή του Δικτύωση K3S είναι ο ρόλος της διεπαφής δικτύου εμπορευματοκιβωτίων (CNI) στη διαχείριση της συνδεσιμότητας POD. Από προεπιλογή, το K3S χρησιμοποιεί φανέλα ως CNI, το οποίο απλοποιεί τη δικτύωση, αλλά μπορεί να μην υποστηρίζει την προηγμένη δρομολόγηση από το κουτί. Σε περιπτώσεις όπου τα POD πρέπει να έχουν πρόσβαση σε πόρους εκτός του πρωταρχικού υποδικτύου τους, αντικαθιστώντας τη φανέλα με ένα πλούσιο σε χαρακτηριστικά CNI όπως το Calico ή το Cilium μπορεί να παρέχει πρόσθετες επιλογές ευελιξίας και προσαρμοσμένης δρομολόγησης.

Ένας άλλος σημαντικός παράγοντας είναι η ανάλυση DNS. Ακόμη και αν η δρομολόγηση έχει ρυθμιστεί σωστά, τα POD ενδέχεται να αγωνίζονται να συνδεθούν με εξωτερικές υπηρεσίες λόγω λανθασμένων ρυθμίσεων DNS. Οι Kubernetes βασίζονται συνήθως σε Coredns, τα οποία ενδέχεται να μην επιλύουν αυτόματα τα ονόματα κεντρικού υπολογιστή από εξωτερικά δίκτυα. Η διαμόρφωση προσαρμοσμένων ρυθμίσεων DNS εντός του συμπλέγματος μπορεί να βοηθήσει στην εξασφάλιση ομαλής επικοινωνίας μεταξύ των λοβών και των μηχανών σε άλλα υποδίκτυα, βελτιώνοντας τόσο την προσβασιμότητα όσο και την απόδοση.

Οι εκτιμήσεις ασφαλείας διαδραματίζουν επίσης βασικό ρόλο. Κατά την επέκταση της πρόσβασης POD πέρα ​​από το τοπικό δίκτυο, οι κανόνες τείχους προστασίας και οι πολιτικές δικτύου πρέπει να προσαρμοστούν προσεκτικά για να αποφευχθεί η έκθεση ευαίσθητων πόρων. Η εφαρμογή πολιτικών δικτύου Kubernetes μπορεί να περιορίσει την περιττή κυκλοφορία επιτρέποντας ταυτόχρονα τις απαιτούμενες συνδέσεις. Για παράδειγμα, μια υπηρεσία ιστού που εκτελείται σε ένα POD μπορεί να χρειαστεί πρόσβαση σε μια απομακρυσμένη βάση δεδομένων, αλλά δεν πρέπει να έχει απεριόριστη πρόσβαση σε όλες τις εξωτερικές μηχανές. Η διαχείριση αυτών των πολιτικών ενισχύει αποτελεσματικά την ασφάλεια διατηρώντας παράλληλα την απαραίτητη συνδεσιμότητα. 🔐

Συχνές ερωτήσεις σχετικά με τη δικτύωση K3S και τη διασταυρούμενη πρόσβαση

  1. Γιατί οι κόμβοι των εργαζομένων έχουν πρόσβαση σε εξωτερικά δίκτυα, αλλά τα λοβό δεν μπορούν;
  2. Τα Pods χρησιμοποιούν ένα εσωτερικό K3S Δίκτυο, ξεχωριστό από τη στοίβα δικτύωσης του κεντρικού υπολογιστή. Από προεπιλογή, δεν κληρονομούν τις στατικές διαδρομές του κόμβου των εργαζομένων.
  3. Πώς μπορώ να επιτρέψω στα λοβό K3S να έχουν πρόσβαση σε ένα εξωτερικό υποδίκτυο;
  4. Μπορείτε να τροποποιήσετε τους κανόνες δρομολόγησης χρησιμοποιώντας iptables ή προσθέστε στατικές διαδρομές με ip route add για να ενεργοποιήσετε την επικοινωνία POD με εξωτερικές μηχανές.
  5. Υποστηρίζει τη δρομολόγηση διασταυρούμενης δρομολόγησης φανέλας;
  6. Όχι, η φανέλα δεν παρέχει προηγμένη δρομολόγηση από προεπιλογή. Η αντικατάσταση του με Calico ή Cilium προσφέρει περισσότερο έλεγχο των πολιτικών και των διαδρομών δικτύου.
  7. Μπορούν οι πολιτικές δικτύου Kubernetes να βοηθήσουν στη διαχείριση της εξωτερικής πρόσβασης;
  8. Ναι, σας επιτρέπουν να ορίσετε κανόνες για τους οποίους μπορούν να επικοινωνήσουν με τις εξωτερικές υπηρεσίες, βελτιώνοντας την ασφάλεια και τη συνδεσιμότητα.
  9. Ποιος είναι ο καλύτερος τρόπος για να δοκιμάσετε εάν ένα pod μπορεί να φτάσει σε ένα εξωτερικό μηχάνημα;
  10. Αναπτύξτε ένα προσωρινό pod χρησιμοποιώντας kubectl run Με μια εικόνα όπως το BusyBox, στη συνέχεια χρησιμοποιήστε ping ή curl Μέσα στο POD για να ελέγξετε τη συνδεσιμότητα.

Ενίσχυση της συνδεσιμότητας Kubernetes POD

Η διαμόρφωση της δικτύωσης K3S για την υποστήριξη της πρόσβασης Cross-Subnet απαιτεί ένα συνδυασμό στρατηγικών δρομολόγησης, προσαρμογές τείχους προστασίας και πολιτικές δικτύου Kubernetes. Είτε χρησιμοποιείτε IPTables, στατικές διαδρομές, είτε ένα προηγμένο CNI, η κατανόηση του τρόπου με τον οποίο η επικοινωνία των λοβών είναι το κλειδί για την αποτελεσματική επίλυση αυτών των ζητημάτων. Αυτές οι λύσεις εξασφαλίζουν ότι οι αναπτύξεις Kubernetes μπορούν να κλιμακωθούν χωρίς δικτύωση σημείων συμφόρησης.

Οι δοκιμές και η επικύρωση είναι εξίσου σημαντικές με την εφαρμογή. Η χρήση εργαλείων όπως το BusyBox για δοκιμές ζωντανών δικτύων βοηθά στην επιβεβαίωση των διορθώσεων συνδεσιμότητας. Μια καλά βελτιστοποιημένη ρύθμιση δικτύου όχι μόνο βελτιώνει την απόδοση αλλά και ενισχύει την ασφάλεια. Με τη σωστή διαμόρφωση, τα συστάδες K3S μπορούν να συνδεθούν απρόσκοπτα με εξωτερικά συστήματα, καθιστώντας τις αναπτύξεις πιο ευέλικτες. 🔧

Περαιτέρω ανάγνωση και αναφορές
  1. Επίσημη τεκμηρίωση Rancher σχετικά με τη δικτύωση K3S: Δικτύωση Rancher K3S
  2. Επίσημος οδηγός Kubernetes για τις πολιτικές δικτύου: Πολιτικές δικτύου Kubernetes
  3. Calico CNI για προηγμένη δικτύωση Kubernetes: Project Calico
  4. Linux Iptables και βέλτιστες πρακτικές δρομολόγησης: Netfilter/iptables howto
  5. Κατανόηση της δικτύωσης Kubernetes POD: CNCF Kubernetes Networking 101
Αξιόπιστες πηγές και τεχνικές αναφορές
  1. Επίσημη τεκμηρίωση δικτύωσης Kubernetes για την κατανόηση της επικοινωνίας δικτύου Pod-to-External: Δικτύωση Kubernetes .
  2. Ο επίσημος οδηγός του Rancher για τη διαμόρφωση της δικτύωσης K3S και την αντιμετώπιση προβλημάτων συνδεσιμότητας: Δικτύωση Rancher K3S .
  3. Οι προηγμένες λύσεις δικτύωσης της Calico για το Kubernetes, συμπεριλαμβανομένης της δρομολόγησης Cross-Subnet: Δικτύωση Calico .
  4. Τεκμηρίωση φανέλας για την κατανόηση της προεπιλεγμένης συμπεριφοράς δικτύωσης K3S: Φανέλας .
  5. Linux Iptables και διαμορφώσεις δρομολόγησης για να επεκτείνουν την πρόσβαση POD πέρα ​​από τους κόμβους των εργαζομένων: Iptables Archwiki .