时间戳

首页 > 解决方案 > NAT服务暴露背后的Kubernetes节点

docker - NAT服务暴露背后的Kubernetes节点

问题描述

我正在尝试让 Kubernetes 集群与一些在 NAT 后面工作但没有公共 IP 地址的节点一起工作。(为什么我需要它是另一回事)

有3个节点:

  1. Kubernetes 集群主控(具有公网 IP 地址)
  2. Node1(带有公共 IP 地址)
  3. Node2(在我的笔记本电脑上作为虚拟机在 NAT 后面工作,没有公共 IP 地址)

所有 3 个节点都运行带有 Kubernetes v1.10.2(3)、Docker 17.12 的 Ubuntu 18.04

Kubernetes 集群是这样创建的:

kubeadm init --pod-network-cidr=10.244.0.0/16

使用法兰绒网络:

kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

Node1 和 Node2 加入集群:

NAME STATUS ROLES AGE VERSION master-node Ready master 3h v1.10.2 node1 Ready <none> 2h v1.10.3 node2 Ready <none> 2h v1.10.2

Nginx 部署 + 服务 (type=NodePort) 为 Node1 创建和调度(具有公共 IP):

https://pastebin.com/6CrugunB

kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 3h my-nginx NodePort 10.110.202.32 <none> 80:31742/TCP 16m

此部署可按预期通过http://MASTER_NODE_PUBLIC_IP:31742http://NODE1_PUBLIC_IP:31742 访问

另一个为 Node2 创建和调度的 Nginx 部署 + 服务(类型=NodePort)(没有公共 IP):

https://pastebin.com/AFK42UNW

kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 3h my-nginx NodePort 10.110.202.32 <none> 80:31742/TCP 22m nginx-behind-nat NodePort 10.105.242.178 <none> 80:32350/TCP 22m

但是,无法通过http://MASTER_NODE_PUBLIC_IP:32350http://NODE1_PUBLIC_IP:32350访问此服务。

它只能通过我的笔记本电脑上的http://MY_VM_IP:32350访问。

此外:我不能通过任何一个进入nginx-behind-nat吊舱kubectl exec

有没有办法实现它?

标签: dockerkubernetesflannelubuntu-18.04

解决方案

如 Kubernetes文档中所述:

Kubernetes 对任何网络实现都提出了以下基本要求(除非任何有意的网络分段策略):

  • 所有容器都可以在没有 NAT 的情况下与所有其他容器通信
  • 所有节点都可以在没有 NAT 的情况下与所有容器通信(反之亦然)
  • 容器认为自己的 IP 与其他人认为的 IP 相同

这在实践中意味着您不能只使用两台运行 Docker 的计算机并期望 Kubernetes 工作。您必须确保满足基本要求。

默认情况下,从 api-server 到节点、端口或服务的连接只是纯 HTTP,没有身份验证和加密。
它们可以通过 HTTPS 工作,但默认情况下,apiserver 不会验证 HTTPS 端点证书,因此它不会提供任何完整性保证,并且可能会受到中间人攻击。

有关保护集群内部连接的详细信息,请查看此文档

推荐阅读