목장주의 K3S 포드에 대한 네트워크 액세스 문제 해결

목장주의 K3S 포드에 대한 네트워크 액세스 문제 해결
목장주의 K3S 포드에 대한 네트워크 액세스 문제 해결
Jules David
2025년 2월 18일 화요일 오후 6:23:03

K3S의 POD 네트워크 제한 이해

Rancher 및 K3S와 함께 Kubernetes 클러스터를 설정할 때 네트워킹이 주요 과제가 될 수 있습니다. 작업자 노드가 외부 네트워크에 도달 할 수있을 때 일반적인 문제가 발생하지만 해당 노드 내에서 실행되는 포드는 제한됩니다. 특히 노드에 적절한 경로가 구성된 경우 포드는 고립 된 상태로 유지됩니다.

이 시나리오는 종종 작업자 노드가 더 넓은 네트워크 아키텍처의 일부인 환경에서 발생합니다. 예를 들어, 작업자 노드는 192.168.1.x 서브넷에 속할 수 있으며 정적 경로를 통해 192.168.2.x와 같은 다른 서브넷에 액세스 할 수 있습니다. 그러나 해당 노드에서 실행되는 포드는 192.168.2.x에서 기계와 통신 할 수 없습니다.

여기서 도전은 Kubernetes가 네트워킹을 관리하는 방법과 포드에서 외부 목적지로 트래픽이 흐르는 방식에 있습니다. 적절한 구성이 없으면 POD는 자체 노드 네트워크 내에서만 리소스에 액세스 할 수있어 외부 시스템을 도달 할 수 없습니다. 이런 일이 발생하는 이유를 이해하는 것이 솔루션을 찾는 데 중요합니다.

이 기사에서는 포드가 이러한 네트워크 제한에 직면하는 이유와 외부 서브넷에 액세스 할 수있는 방법을 살펴 보겠습니다. 실용적인 단계와 실제 예제를 통해이 연결 격차를 해소하는 데 도움이됩니다. 다이빙합시다! 🚀

명령 사용의 예
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE NAT (네트워크 주소 변환) 규칙을 추가하여 포드가 소스 IP를 가장재하여 외부 네트워크와 통신 할 수 있도록합니다.
echo 1 >echo 1 > /proc/sys/net/ipv4/ip_forward IP 전달을 활성화하여 한 네트워크의 패킷을 다른 네트워크로 라우팅 할 수 있도록하므로 크로스 서브 넷 통신에 필수적입니다.
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0 192.168.1.1 게이트웨이를 통해 192.168.2.x 네트워크로 트래픽을 지시하는 정적 경로를 수동으로 추가합니다.
iptables-save >iptables-save > /etc/iptables/rules.v4 시스템 재부팅 후에도 활성을 유지하도록 iptables 규칙을 지속시킵니다.
systemctl restart networking 새로 구성된 경로 및 방화벽 규칙을 적용하려면 네트워킹 서비스를 다시 시작합니다.
hostNetwork: true 컨테이너가 내부 클러스터 네트워킹 제한을 우회하여 호스트의 네트워크를 공유 할 수있는 Kubernetes POD 구성.
securityContext: { privileged: true } Kubernetes 컨테이너가 높은 권한을 부여하여 호스트 시스템의 네트워킹 설정을 수정할 수 있습니다.
ip route show 현재 라우팅 테이블을 표시하여 서브넷 간의 연결 문제를 디버깅하는 데 도움이됩니다.
command: ["sh", "-c", "ping -c 4 192.168.2.10"] Kubernetes POD 내부에서 기본 네트워크 연결 테스트를 실행하여 외부 액세스를 확인합니다.
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >>echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces 시스템의 네트워크 구성 파일에 지속적인 정적 경로를 추가하여 재부팅 후에도 유지됩니다.

K3S 포드의 크로스 네트워크 연결 보장

배포 할 때 K3S 목장주를 사용하면 포드가 직접 서브넷 외부의 기계와 통신해야 할 때 네트워킹 문제가 발생할 수 있습니다. 스크립트는 라우팅 규칙을 수정하고 NAT (네트워크 주소 변환)를 구성 하여이 문제를 해결합니다. 하나의 주요 스크립트가 사용됩니다 iptables 가장 무도회 규칙을 적용하려면 POD 트래픽이 작업자 노드 자체에서 나오도록 보장합니다. 이를 통해 외부 기계가 POD에 응답하여 기본 네트워크 격리를 극복 할 수 있습니다.

다른 접근법은 수동으로 정적 경로를 추가하는 것입니다. 작업자 노드는 종종 정적 경로를 통해 다른 네트워크에 액세스 할 수 있지만 Kubernetes 포드는 기본적으로 이러한 경로를 상속하지 않습니다. 노드 게이트웨이를 통해 192.168.2.x로 경로를 명시 적으로 추가하는 스크립트를 실행하면 포드가 해당 기계에 도달 할 수 있는지 확인합니다. 이는 여러 부서를위한 별도의 VLAN을 가진 회사와 같이 여러 내부 네트워크가 통신 해야하는 환경에서 필수적입니다.

프로세스를 자동화하려면 a Kubernetes Daemonset 배포 할 수 있습니다. 이를 통해 네트워킹 구성이 클러스터의 모든 노드에 지속적으로 적용됩니다. Daemonset은 네트워킹 명령을 실행하는 특권 컨테이너를 실행하여 확장 가능한 솔루션입니다. 이 방법은 각 노드를 수동으로 구성하는 것이 실용적이지 않은 대형 작업자 노드를 관리 할 때 특히 유용합니다. 다른 서브넷에서 호스팅 된 레거시 데이터베이스에 대한 액세스가 필요한 클라우드 기반 애플리케이션을 상상해보십시오.이 설정은 원활한 연결을 보장합니다.

마지막으로 테스트가 중요합니다. 제공된 스크립트는 외부 시스템을 핑하려는 간단한 Busybox 포드를 배포합니다. 핑이 성공하면 연결 수정이 작동하고 있음을 확인합니다. 이러한 유형의 실제 검증은 네트워크 구성이 고장난 생산 환경에서 매우 중요합니다. 이러한 접근 방식 (NAT, 정적 경로, Kubernetes Automation 및 Live Testing)을 결합함으로써 K3S 클러스터에서 크로스 네트워크 액세스를위한 강력한 솔루션을 만듭니다. 🚀

K3S의 외부 네트워크에 대한 포드 연결 보장

iptables를 사용하여 POD 커뮤니케이션을 위해 NAT를 구성합니다

#!/bin/bash
# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Add NAT rule to allow pods to access external networks
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE
# Persist iptables rule
iptables-save > /etc/iptables/rules.v4
# Restart networking service
systemctl restart networking

경로 주입을 통해 K3S 포드가 외부 서브넷에 도달하도록 허용

정적 경로 및 CNI 구성 사용

#!/bin/bash
# Add a static route to allow pods to reach 192.168.2.x
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0
# Verify the route
ip route show
# Make the route persistent
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces
# Restart networking
systemctl restart networking

Kubernetes Daemonset을 사용하여 네트워크 규칙을 적용합니다

노드 네트워킹을 구성하기 위해 Kubernetes Daemonset을 배포합니다

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: k3s-network-fix
spec:
  selector:
    matchLabels:
      app: network-fix
  template:
    metadata:
      labels:
        app: network-fix
    spec:
      hostNetwork: true
      containers:
      - name: network-fix
        image: alpine
        command: ["/bin/sh", "-c"]
        args:
        - "ip route add 192.168.2.0/24 via 192.168.1.1"
        securityContext:
          privileged: true

포드에서 네트워크 연결 테스트

Kubernetes Busybox POD를 사용하여 네트워크 액세스를 확인합니다

apiVersion: v1
kind: Pod
metadata:
  name: network-test
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["sh", "-c", "ping -c 4 192.168.2.10"]
  restartPolicy: Never

멀티 서브넷 통신을위한 K3S 네트워킹 최적화

중요한 하나의 중요한 측면 K3S 네트워킹 포드 연결 관리에서 컨테이너 네트워크 인터페이스 (CNI)의 역할입니다. 기본적으로 K3S는 플란넬을 CNI로 사용하여 네트워킹을 단순화하지만 상자에서 고급 라우팅을 지원하지 않을 수 있습니다. 포드가 기본 서브넷 외부의 리소스에 액세스 해야하는 경우 플란넬을 Calico 또는 Cilium과 같은 기능이 풍부한 CNI로 대체하면 추가 유연성 및 사용자 정의 라우팅 옵션을 제공 할 수 있습니다.

또 다른 중요한 요소는 DNS 해상도입니다. 라우팅이 올바르게 구성 되더라도 포드는 잘못된 DNS 설정으로 인해 외부 서비스에 연결하는 데 어려움을 겪을 수 있습니다. Kubernetes는 일반적으로 Coredns에 의존하며 외부 네트워크에서 호스트 이름을 자동으로 해결하지 못할 수 있습니다. 클러스터 내에서 사용자 정의 DNS 설정을 구성하면 다른 서브넷의 포드와 기계 간의 원활한 통신을 보장하여 접근성과 성능을 향상시킬 수 있습니다.

보안 고려 사항도 중요한 역할을합니다. 로컬 네트워크를 넘어 POD 액세스를 확장 할 때는 민감한 리소스를 노출하지 않도록 방화벽 규칙 및 네트워크 정책을 신중하게 조정해야합니다. Kubernetes 네트워크 정책을 구현하면 불필요한 트래픽을 제한하면서 필요한 연결을 허용 할 수 있습니다. 예를 들어, POD에서 실행되는 웹 서비스는 원격 데이터베이스에 대한 액세스가 필요할 수 있지만 모든 외부 시스템에 무제한 액세스 권한이 없어야합니다. 이러한 정책을 관리하면 필요한 연결을 유지하면서 보안을 효과적으로 향상시킵니다. 🔐

K3S 네트워킹 및 크로스 서브넷 액세스에 대한 질문

  1. 작업자 노드가 외부 네트워크에 액세스 할 수있는 이유는 무엇입니까? 그러나 포드는 할 수 없습니까?
  2. 포드는 내부를 사용합니다 K3S 호스트의 네트워킹 스택과 별도로 네트워크. 기본적으로 작업자 노드의 정적 경로를 상속하지 않습니다.
  3. K3S 포드가 외부 서브넷에 액세스 할 수 있도록하려면 어떻게해야합니까?
  4. 라우팅 규칙을 사용하여 수정할 수 있습니다 iptables 또는 정적 경로를 추가하십시오 ip route add 외부 기계와의 포드 통신을 가능하게합니다.
  5. 플란넬은 크로스 서브 넷 라우팅을 지원합니까?
  6. 아니요, 플란넬은 기본적으로 고급 라우팅을 제공하지 않습니다. Calico 또는 Cilium으로 교체하면 네트워크 정책 및 경로를 더 많이 제어 할 수 있습니다.
  7. Kubernetes 네트워크 정책이 외부 액세스를 관리하는 데 도움이 될 수 있습니까?
  8. 예, POD가 외부 서비스와 통신 할 수있는 규칙을 정의하여 보안 및 연결성을 향상시킬 수 있습니다.
  9. 포드가 외부 기계에 도달 할 수 있는지 테스트하는 가장 좋은 방법은 무엇입니까?
  10. 임시 포드를 사용하여 배포하십시오 kubectl run BusyBox와 같은 이미지를 사용하여 사용하십시오 ping 또는 curl 포드 내부에 연결성을 확인합니다.

Kubernetes 포드 연결 향상

크로스 서브넷 액세스를 지원하기 위해 K3S 네트워킹을 구성하려면 라우팅 전략, 방화벽 조정 및 Kubernetes 네트워크 정책이 혼합되어야합니다. iptables, 정적 경로 또는 고급 CNI를 사용하든, 포드가 의사 소통하는 방법을 이해하는 것은 이러한 문제를 효율적으로 해결하는 데 중요합니다. 이러한 솔루션은 Kubernetes 배포 네트워킹 병목 현상없이 확장 할 수 있도록합니다.

테스트 및 검증은 구현만큼 중요합니다. 라이브 네트워크 테스트를 위해 Busybox와 같은 도구를 사용하면 연결 수정을 확인하는 데 도움이됩니다. 잘 최적화 된 네트워크 설정은 성능을 향상시킬뿐만 아니라 보안을 강화합니다. 적절한 구성으로 K3S 클러스터는 외부 시스템에 원활하게 연결하여 배포를보다 다재다능하게 만듭니다. 🔧

추가 읽기 및 참고 문헌
  1. K3S 네트워킹에 대한 공식 목장 문서 : 목장 인 K3S 네트워킹
  2. Kubernetes 네트워크 정책에 관한 공식 안내서 : Kubernetes 네트워크 정책
  3. 고급 Kubernetes 네트워킹을위한 Calico CNI : 프로젝트 캘리코
  4. Linux iptables 및 라우팅 모범 사례 : netfilter/iptables howto
  5. Kubernetes Pod 네트워킹 이해 : CNCF Kubernetes 네트워킹 101
신뢰할 수있는 출처 및 기술 참조
  1. Pod-to External 네트워크 커뮤니케이션을 이해하기위한 공식 Kubernetes 네트워킹 문서 : Kubernetes 네트워킹 .
  2. K3S 네트워킹 구성 및 연결 문제 해결 문제에 관한 Rancher의 공식 안내서 : 목장 인 K3S 네트워킹 .
  3. 크로스 서브 넷 라우팅을 포함한 Kubernetes 용 Calico의 고급 네트워킹 솔루션 : 캘리코 네트워킹 .
  4. 기본 K3S 네트워킹 동작을 이해하기위한 플란넬 문서 : 플란넬 github .
  5. 작업자 노드를 넘어 포드 액세스를 확장하기위한 Linux iptables 및 라우팅 구성 : iptables Archwiki .