amazon-web-services - AWS 上的 Kubernetes 集群使用没有互联网出口的 kops

问题描述

目标：使用 kops 在 AWS 上安装 kubernetes 集群，无需任何 Internet 访问。

方法：该kops工具通常有很多来自互联网的依赖项。第一个也是最重要的一个是nodeup从 s3 下载的。此nodeup二进制文件需要在 file 中传递一些参数kube_env.yaml。

Assets:
- 125993c220d1a9b5b60ad20a867a0e7cda63e64c@https://storage.googleapis.com/kubernetes-release/release/v1.8.4/bin/linux/amd64/kubelet
- 8e2314db816b9b4465c5f713c1152cb0603db15e@https://storage.googleapis.com/kubernetes-release/release/v1.8.4/bin/linux/amd64/kubectl
- 1d9788b0f5420e1a219aad2cb8681823fc515e7c@https://storage.googleapis.com/kubernetes-release/network-plugins/cni-0799f5732f2a11b329d9e3d51b9c8f2e3759f2ff.tar.gz
- f62360d3351bed837ae3ffcdee65e9d57511695a@https://kubeupv2.s3.amazonaws.com/kops/1.8.0/linux/amd64/utils.tar.gz
ClusterName: ${cluster_fqdn}
ConfigBase: s3://${config_base}
InstanceGroupName: ${instance_group}
Tags:
- _automatic_upgrades
- _aws
- _kubernetes_master
- _networking_cni
channels:
- s3://${config_base}/addons/bootstrap-channel.yaml
protokubeImage:
  hash: 1b972e92520b3cafd576893ae3daeafdd1bc9ffd
  name: protokube:1.8.0
  source: https://kubeupv2.s3.amazonaws.com/kops/1.8.0/images/protokube.tar.gz

从上面的文件中可以看出，包和图像是从指定的源下载的。自定义源并将其指向文件中提到的所有包的内部存储是相当容易的。但是，nodeup并且protokube似乎从gcr.io需要互联网出口的谷歌 docker 存储库中调用 docker 图像。

我们尝试将清单配置为指向托管在网络中的私有 docker 存储库，其中存储了所有必需的图像。但是不要从私有存储库中提取图像并且集群不会出现。这是我们实现无互联网集群的唯一障碍。我假设图像在二进制文件中是硬编码的。如果是这种情况，我能看到的唯一解决方案是构建自定义nodeup可执行文件。

我们正在寻找有关所采取方法的其他解决方案或建议。图像是硬编码在nodeup二进制文件中还是发生了某种哈希验证？nodeup源代码没有很好的文档记录。因此，很难确定调用图像的确切位置。

标签： amazon-web-servicesdockerkuberneteskops