时间戳

首页 > 解决方案 > 如何在 Kubernetes pod 中设置 no_proxy

docker - 如何在 Kubernetes pod 中设置 no_proxy

问题描述

因为我的 Kubernetes Cluster 在企业代理后面,所以我需要通过环境变量在 Pod 中设置 http/https 代理,并设置 no_proxy 以允许 Pod 间和服务间通信以及与其他本地私有服务器的通信。

通过 env 变量传递到 pod 时,代理 http/https 配置工作得很好;但是 no_proxy 不能很好地工作,它会破坏内部 pod/service 通信。

我曾尝试在 Kubernetes 的不同级别设置 no_proxy 和 NO_PROXY,但未成功,主要在:

POD 中的代理配置通过 POD 中的 env 变量成功:

导出 http_proxy="http://10.16.1.1:8080"
导出 https_proxy="https://10.16.1.1:8080"

但是,以上都不适用于 no_proxy 异常,我尝试了很多语法,还添加了我的节点、pod 和服务网络以及 .svc(如 OpenShift 所建议的那样)......如下所示:

export no_proxy=".svc,.example.com"
export no_proxy="localhost,127.0.0.0/8,10.1.16.0/24,10.240.0.0/16,10.241.0.0/16,*.domain.com"
export no_proxy =".svc,.default,.local,.cluster.local,localhost,127.0.0.0/8,10.1.16.0/24,10.240.0.0/16,10.241.0.0/16,.domain.com"
导出 NO_PROXY= $no_proxy

我在 CentOS7 上使用 Kubernetes v1.11.2 + Docker v1.13.1;
任何帮助,将不胜感激。

标签: dockerkubernetes

解决方案

我们可以做一个合理的假设,我们不直接使用IP地址访问外部网络服务器。换句话说,我们使用 FQDN 访问,比如 python.com、google.com、github.com,但不直接使用它们的 IP 地址。

有了这个假设,我们可以绕过所有直接 IP 地址访问的网络代理。

export no_proxy=localhost,.svc
printf -v allip '%s,' .{0..255}
export no_proxy="$no_proxy,${allip%,}"

这增加.0,.1,.2,...,.255了 no_proxy 环境变量。这里没有魔法。我们只是将 IP 地址视为 FQDN,因此后缀匹配作为 FQDN no_proxy 设置。比如说,.120 将匹配所有 IP 地址 xxx122。

推荐阅读