Rancher में K3S पॉड्स के लिए

Jules David

मंगलवार, 18 फ़रवरी 2025 को 5:54:26 pm

K3s में POD नेटवर्क सीमाओं को समझना

रैंचर और K3s के साथ कुबेरनेट्स क्लस्टर की स्थापना करते समय, नेटवर्किंग एक बड़ी चुनौती बन सकती है। एक सामान्य मुद्दा तब उत्पन्न होता है जब कार्यकर्ता नोड बाहरी नेटवर्क तक पहुंच सकते हैं, लेकिन उन नोड्स के भीतर चलने वाले फली प्रतिबंधित हैं। यह निराशाजनक हो सकता है, खासकर जब आपके नोड्स में उचित मार्ग कॉन्फ़िगर किए गए होते हैं, फिर भी आपकी फली अलग -थलग रहती है।

यह परिदृश्य अक्सर ऐसे वातावरण में सामना किया जाता है जहां कार्यकर्ता नोड्स एक व्यापक नेटवर्क वास्तुकला का हिस्सा होते हैं। उदाहरण के लिए, आपके कार्यकर्ता नोड्स 192.168.1.x सबनेट से संबंधित हो सकते हैं और स्थैतिक मार्गों के माध्यम से 192.168.2.x जैसे एक और सबनेट तक पहुंच सकते हैं। हालांकि, उन नोड्स पर चलने वाली फली 192.168.2.x में मशीनों के साथ संवाद करने में असमर्थ हैं।

यहां चुनौती यह है कि कुबेरनेट्स नेटवर्किंग का प्रबंधन कैसे करता है और कैसे ट्रैफ़िक पॉड्स से बाहरी गंतव्यों में बहता है। उचित कॉन्फ़िगरेशन के बिना, POD केवल अपने स्वयं के नोड के नेटवर्क के भीतर संसाधनों तक पहुंचने में सक्षम हो सकते हैं, जिससे बाहरी मशीनों को अप्राप्य छोड़ दिया जा सकता है। ऐसा क्यों होता है यह समझना एक समाधान खोजने के लिए महत्वपूर्ण है।

इस लेख में, हम यह पता लगाएंगे कि पॉड्स इन नेटवर्क प्रतिबंधों का सामना क्यों करते हैं और उन्हें बाहरी सबनेट्स तक पहुंचने में कैसे सक्षम करें। व्यावहारिक चरणों और वास्तविक दुनिया के उदाहरणों के माध्यम से, हम आपको इस कनेक्टिविटी गैप को पाटने में मदद करेंगे। चलो गोता लगाते हैं! 🚀

आज्ञा	उपयोग का उदाहरण
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE	पॉड्स को अपने स्रोत आईपी को मस्केट करके बाहरी नेटवर्क के साथ संवाद करने की अनुमति देने के लिए एक NAT (नेटवर्क एड्रेस ट्रांसलेशन) नियम जोड़ता है।
echo 1 >echo 1 > /proc/sys/net/ipv4/ip_forward	आईपी अग्रेषण को सक्षम करता है, एक नेटवर्क से पैकेट को दूसरे में रूट करने की अनुमति देता है, जो क्रॉस-सबनेट संचार के लिए आवश्यक है।
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0	मैन्युअल रूप से एक स्थिर मार्ग जोड़ता है, 192.168.2.x नेटवर्क के लिए 192.168.1.1.1 गेटवे के माध्यम से ट्रैफ़िक को निर्देशित करता है।
iptables-save >iptables-save > /etc/iptables/rules.v4	Iptables नियमों को बनाए रखता है इसलिए वे एक सिस्टम रिबूट के बाद सक्रिय रहते हैं।
systemctl restart networking	नए कॉन्फ़िगर किए गए मार्गों और फ़ायरवॉल नियमों को लागू करने के लिए नेटवर्किंग सेवा को पुनरारंभ करता है।
hostNetwork: true	एक कुबेरनेट्स पॉड कॉन्फ़िगरेशन जो एक कंटेनर को होस्ट के नेटवर्क को साझा करने की अनुमति देता है, आंतरिक क्लस्टर नेटवर्किंग प्रतिबंधों को दरकिनार करता है।
securityContext: { privileged: true }	एक कुबेरनेट्स कंटेनर को प्राप्त करने की अनुमति देता है, जिससे यह होस्ट मशीन पर नेटवर्किंग सेटिंग्स को संशोधित करने की अनुमति देता है।
ip route show	वर्तमान रूटिंग तालिका को प्रदर्शित करता है, सबनेट के बीच डिबग कनेक्टिविटी मुद्दों में मदद करता है।
command: ["sh", "-c", "ping -c 4 192.168.2.10"]	बाहरी पहुंच को सत्यापित करने के लिए कुबेरनेट्स पॉड के अंदर एक बुनियादी नेटवर्क कनेक्टिविटी परीक्षण चलाता है।
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >>echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces	सिस्टम के नेटवर्क कॉन्फ़िगरेशन फ़ाइल में एक लगातार स्थिर मार्ग जोड़ता है, यह सुनिश्चित करता है कि यह रिबूट के बाद रहता है।

K3S पॉड्स के लिए क्रॉस-नेटवर्क कनेक्टिविटी सुनिश्चित करना

जब तैनात हो K3S रैंचर के साथ, नेटवर्किंग के मुद्दे तब उत्पन्न हो सकते हैं जब पॉड्स को अपने तत्काल सबनेट के बाहर मशीनों के साथ संवाद करने की आवश्यकता होती है। रूटिंग नियमों को संशोधित करके और NAT (नेटवर्क पता अनुवाद) को कॉन्फ़िगर करके स्क्रिप्ट ने इस समस्या को संबोधित किया। एक प्रमुख स्क्रिप्ट का उपयोग करता है iptables एक बहाना नियम लागू करने के लिए, यह सुनिश्चित करना कि POD ट्रैफ़िक कार्यकर्ता नोड से ही आता है। यह बाहरी मशीनों को डिफ़ॉल्ट नेटवर्क अलगाव पर काबू पाने, फली का जवाब देने की अनुमति देता है।

एक अन्य दृष्टिकोण में मैन्युअल रूप से स्थिर मार्गों को जोड़ना शामिल है। कार्यकर्ता नोड्स में अक्सर स्थैतिक मार्गों के माध्यम से अन्य नेटवर्क तक पहुंच होती है, लेकिन कुबेरनेट्स पॉड्स इन मार्गों को डिफ़ॉल्ट रूप से विरासत में नहीं लेते हैं। एक स्क्रिप्ट चलाकर जो स्पष्ट रूप से नोड के गेटवे के माध्यम से 192.168.2.x का मार्ग जोड़ता है, हम सुनिश्चित करते हैं कि पॉड्स उन मशीनों तक पहुंच सकते हैं। यह उन वातावरणों में आवश्यक है जहां कई आंतरिक नेटवर्क को संवाद करने की आवश्यकता होती है, जैसे कि विभिन्न विभागों के लिए अलग -अलग वीएलएएन वाली कंपनियां।

प्रक्रिया को स्वचालित करने के लिए, ए कुबेरनेट्स डेमोनसेट तैनात किया जा सकता है। यह सुनिश्चित करता है कि नेटवर्किंग कॉन्फ़िगरेशन क्लस्टर में सभी नोड्स में लगातार लागू होते हैं। Daemonset एक विशेषाधिकार प्राप्त कंटेनर चलाता है जो नेटवर्किंग कमांड को निष्पादित करता है, जिससे यह एक स्केलेबल समाधान बन जाता है। यह विधि विशेष रूप से उपयोगी है जब कार्यकर्ता नोड्स के एक बड़े बेड़े का प्रबंधन करते हैं, जहां मैन्युअल रूप से प्रत्येक नोड को कॉन्फ़िगर करना अव्यावहारिक होगा। एक क्लाउड-आधारित एप्लिकेशन की कल्पना करें, जिसमें एक अन्य सबनेट में होस्ट की गई विरासत डेटाबेस तक पहुंच की आवश्यकता है-यह सेटअप सीमलेस कनेक्टिविटी सुनिश्चित करता है।

अंत में, परीक्षण महत्वपूर्ण है। प्रदान की गई स्क्रिप्ट एक साधारण व्यस्तबॉक्स पॉड को तैनात करती है जो एक बाहरी मशीन को पिंग करने का प्रयास करती है। यदि पिंग सफल होता है, तो यह पुष्टि करता है कि कनेक्टिविटी फिक्स काम कर रहा है। इस प्रकार का वास्तविक दुनिया का सत्यापन उत्पादन वातावरण में अमूल्य है, जहां टूटे हुए नेटवर्क कॉन्फ़िगरेशन से सेवा में व्यवधान हो सकते हैं। इन दृष्टिकोणों को मिलाकर-नट, स्थिर मार्ग, कुबेरनेट्स ऑटोमेशन, और लाइव परीक्षण-हम K3S क्लस्टर में क्रॉस-नेटवर्क एक्सेस के लिए एक मजबूत समाधान बनाते हैं। 🚀

K3s में बाहरी नेटवर्क के लिए POD कनेक्टिविटी सुनिश्चित करना

POD संचार के लिए NAT को कॉन्फ़िगर करने के लिए iptables का उपयोग करना

#!/bin/bash
# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Add NAT rule to allow pods to access external networks
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE
# Persist iptables rule
iptables-save > /etc/iptables/rules.v4
# Restart networking service
systemctl restart networking

रूट इंजेक्शन के माध्यम से बाहरी सबनेट तक पहुंचने के लिए K3S फली की अनुमति

स्थैतिक मार्गों और सीएनआई कॉन्फ़िगरेशन का उपयोग करना

#!/bin/bash
# Add a static route to allow pods to reach 192.168.2.x
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0
# Verify the route
ip route show
# Make the route persistent
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces
# Restart networking
systemctl restart networking

नेटवर्क नियमों को लागू करने के लिए एक कुबेरनेट्स डेमोनसेट का उपयोग करना

नोड नेटवर्किंग को कॉन्फ़िगर करने के लिए एक कुबेरनेट्स डेमोनसेट को तैनात करना

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: k3s-network-fix
spec:
  selector:
    matchLabels:
      app: network-fix
  template:
    metadata:
      labels:
        app: network-fix
    spec:
      hostNetwork: true
      containers:
      - name: network-fix
        image: alpine
        command: ["/bin/sh", "-c"]
        args:
        - "ip route add 192.168.2.0/24 via 192.168.1.1"
        securityContext:
          privileged: true

एक फली से नेटवर्क कनेक्टिविटी का परीक्षण

नेटवर्क एक्सेस को सत्यापित करने के लिए एक कुबेरनेट्स व्यस्तबॉक्स पॉड का उपयोग करना

apiVersion: v1
kind: Pod
metadata:
  name: network-test
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["sh", "-c", "ping -c 4 192.168.2.10"]
  restartPolicy: Never

मल्टी-सबनेट संचार के लिए K3S नेटवर्किंग का अनुकूलन

एक महत्वपूर्ण लेकिन अक्सर पहलू की अनदेखी K3s नेटवर्किंग POD कनेक्टिविटी के प्रबंधन में कंटेनर नेटवर्क इंटरफ़ेस (CNI) की भूमिका है। डिफ़ॉल्ट रूप से, K3S अपने CNI के रूप में फलालैन का उपयोग करता है, जो नेटवर्किंग को सरल करता है, लेकिन बॉक्स से बाहर उन्नत रूटिंग का समर्थन नहीं कर सकता है। ऐसे मामलों में जहां PODs को अपने प्राथमिक सबनेट के बाहर संसाधनों तक पहुंचने की आवश्यकता होती है, फ़्लेन्सल को अधिक फीचर-समृद्ध CNI जैसे कैलिको या सिलियम के साथ बदलना अतिरिक्त लचीलापन और कस्टम रूटिंग विकल्प प्रदान कर सकता है।

एक अन्य महत्वपूर्ण कारक DNS रिज़ॉल्यूशन है। यहां तक कि अगर रूटिंग को ठीक से कॉन्फ़िगर किया गया है, तो PODs अभी भी गलत DNS सेटिंग्स के कारण बाहरी सेवाओं से जुड़ने के लिए संघर्ष कर सकते हैं। कुबेरनेट आमतौर पर कोरडन्स पर निर्भर करता है, जो बाहरी नेटवर्क से होस्टनाम को स्वचालित रूप से हल नहीं कर सकता है। क्लस्टर के भीतर कस्टम DNS सेटिंग्स को कॉन्फ़िगर करना अन्य सबनेट में PODs और मशीनों के बीच सुचारू संचार सुनिश्चित करने में मदद कर सकता है, जिससे पहुंच और प्रदर्शन दोनों में सुधार हो सकता है।

सुरक्षा विचार भी एक महत्वपूर्ण भूमिका निभाते हैं। स्थानीय नेटवर्क से परे पॉड एक्सेस का विस्तार करते समय, फायरवॉल नियमों और नेटवर्क नीतियों को संवेदनशील संसाधनों को उजागर करने से बचने के लिए सावधानी से समायोजित किया जाना चाहिए। कुबेरनेट्स नेटवर्क नीतियों को लागू करने से आवश्यक कनेक्शन की अनुमति देते हुए अनावश्यक यातायात को प्रतिबंधित किया जा सकता है। उदाहरण के लिए, पॉड में चलने वाली एक वेब सेवा को दूरस्थ डेटाबेस तक पहुंच की आवश्यकता हो सकती है, लेकिन सभी बाहरी मशीनों तक अप्रतिबंधित पहुंच नहीं होनी चाहिए। इन नीतियों का प्रबंधन आवश्यक कनेक्टिविटी को बनाए रखते हुए प्रभावी रूप से सुरक्षा को बढ़ाता है। 🔐

K3S नेटवर्किंग और क्रॉस-सबनेट एक्सेस के बारे में अक्सर पूछे जाने वाले प्रश्न

कार्यकर्ता नोड्स बाहरी नेटवर्क तक क्यों पहुंच सकते हैं, लेकिन पॉड्स नहीं कर सकते हैं?
पॉड्स एक आंतरिक का उपयोग करते हैं K3S नेटवर्क, होस्ट के नेटवर्किंग स्टैक से अलग। डिफ़ॉल्ट रूप से, वे कार्यकर्ता नोड के स्थिर मार्गों को विरासत में नहीं लेते हैं।
मैं K3S पॉड्स को बाहरी सबनेट तक पहुंचने की अनुमति कैसे दे सकता हूं?
आप रूटिंग नियमों को संशोधित कर सकते हैं iptables या के साथ स्थैतिक मार्ग जोड़ें ip route add बाहरी मशीनों के साथ पॉड संचार को सक्षम करने के लिए।
क्या फलालैन क्रॉस-सबनेट रूटिंग का समर्थन करता है?
नहीं, फलालैन डिफ़ॉल्ट रूप से उन्नत रूटिंग प्रदान नहीं करता है। इसे कैलिको या सिलियम के साथ बदलना नेटवर्क नीतियों और मार्गों पर अधिक नियंत्रण प्रदान करता है।
क्या कुबेरनेट्स नेटवर्क नीतियां बाहरी पहुंच का प्रबंधन करने में मदद कर सकती हैं?
हां, वे आपको उन नियमों को परिभाषित करने की अनुमति देते हैं जिनके लिए पॉड्स बाहरी सेवाओं के साथ संवाद कर सकते हैं, सुरक्षा और कनेक्टिविटी में सुधार कर सकते हैं।
यदि कोई फली किसी बाहरी मशीन तक पहुंच सकती है तो परीक्षण करने का सबसे अच्छा तरीका क्या है?
एक अस्थायी फली का उपयोग करके तैनात करें kubectl run व्यस्तबॉक्स जैसी छवि के साथ, फिर उपयोग करें ping या curl कनेक्टिविटी की जांच करने के लिए फली के अंदर।

कुबेरनेट्स पॉड कनेक्टिविटी को बढ़ाना

क्रॉस-सबनेट एक्सेस का समर्थन करने के लिए K3S नेटवर्किंग को कॉन्फ़िगर करने के लिए रूटिंग रणनीतियों, फ़ायरवॉल समायोजन और कुबेरनेट्स नेटवर्क नीतियों के मिश्रण की आवश्यकता होती है। चाहे iptables, स्थैतिक मार्गों, या एक उन्नत CNI का उपयोग करना, यह समझना कि PODs कैसे संवाद करते हैं, इन मुद्दों को कुशलता से हल करने के लिए महत्वपूर्ण है। ये समाधान यह सुनिश्चित करते हैं कि कुबेरनेट्स की तैनाती नेटवर्किंग अड़चन के बिना स्केल कर सकती है।

परीक्षण और सत्यापन कार्यान्वयन के समान ही महत्वपूर्ण हैं। लाइव नेटवर्क परीक्षण के लिए व्यस्तबॉक्स जैसे टूल का उपयोग करने से कनेक्टिविटी फिक्स की पुष्टि करने में मदद मिलती है। एक अच्छी तरह से अनुकूलित नेटवर्क सेटअप न केवल प्रदर्शन में सुधार करता है, बल्कि सुरक्षा को भी मजबूत करता है। उचित कॉन्फ़िगरेशन के साथ, K3S क्लस्टर बाहरी सिस्टम से मूल रूप से जुड़ सकते हैं, जिससे तैनाती अधिक बहुमुखी हो जाती है। 🔧

आगे पढ़ने और संदर्भ

K3S नेटवर्किंग पर आधिकारिक रैंकर प्रलेखन: Rancher k3s नेटवर्किंग
नेटवर्क नीतियों पर कुबेरनेट्स आधिकारिक गाइड: कुबेरनेट्स नेटवर्क नीतियां
उन्नत कुबेरनेट्स नेटवर्किंग के लिए कैलिको सीएनआई: प्रोजेक्ट कैलिको
लिनक्स iptables और रूटिंग सर्वोत्तम प्रथाओं: Netfilter/iptables Howto
कुबेरनेट्स पॉड नेटवर्किंग को समझना: CNCF कुबेरनेट्स नेटवर्किंग 101

विश्वसनीय स्रोत और तकनीकी संदर्भ

पॉड-टू-एक्सटर्नल नेटवर्क संचार को समझने के लिए आधिकारिक कुबेरनेट्स नेटवर्किंग प्रलेखन: कुबेरनेट नेटवर्किंग ।
K3S नेटवर्किंग और समस्या निवारण कनेक्टिविटी मुद्दों को कॉन्फ़िगर करने पर रैंचर की आधिकारिक गाइड: Rancher k3s नेटवर्किंग ।
क्रॉस-सबनेट रूटिंग सहित कुबेरनेट्स के लिए कैलिको के उन्नत नेटवर्किंग समाधान: कैलिको नेटवर्किंग ।
डिफ़ॉल्ट K3S नेटवर्किंग व्यवहार को समझने के लिए फलालैन प्रलेखन: फलालाल ।
लिनक्स iptables और रूटिंग कॉन्फ़िगरेशन कार्यकर्ता नोड्स से परे पॉड एक्सेस का विस्तार करने के लिए: iptables Archwiki ।

Rancher में K3S पॉड्स के लिए नेटवर्क एक्सेस मुद्दों को हल करना