docker - NAT服务暴露背后的Kubernetes节点-6ren

docker - NAT服务暴露背后的Kubernetes节点

转载作者：行者123 更新时间：2023-12-01 04:40:36

25

4

我正在尝试让 Kubernetes 集群与一些在 NAT 后面工作但没有公共(public) IP 地址的节点一起工作。 (为什么我需要它是另一回事)

有3个节点:

Kubernetes集群主控(公网IP)

Node1(公网IP)

Node2(在我的笔记本电脑上作为虚拟机在 NAT 后面工作，没有公共(public) IP 地址)

所有 3 个节点都运行带有 Kubernetes v1.10.2(3)、Docker 17.12 的 Ubuntu 18.04

Kubernetes 集群是这样创建的:
kubeadm init --pod-network-cidr=10.244.0.0/16
使用法兰绒网络:
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
Node1 和 Node2 加入集群:

NAME STATUS ROLES AGE VERSION
master-node Ready master 3h v1.10.2
node1 Ready <none> 2h v1.10.3
node2 Ready <none> 2h v1.10.2

Nginx 部署 + 服务 (type=NodePort) 为 Node1 创建和调度(具有公共(public) IP):

https://pastebin.com/6CrugunB

kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 3h
my-nginx NodePort 10.110.202.32 <none> 80:31742/TCP 16m

此部署可通过 http://MASTER_NODE_PUBLIC_IP:31742 访问和 http://NODE1_PUBLIC_IP:31742正如预期的那样。

另一个为 Node2 创建和调度的 Nginx 部署 + 服务(类型=NodePort)(没有公共(public) IP):

https://pastebin.com/AFK42UNW

kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 3h
my-nginx NodePort 10.110.202.32 <none> 80:31742/TCP 22m
nginx-behind-nat NodePort 10.105.242.178 <none> 80:32350/TCP 22m

但是无法通过 http://MASTER_NODE_PUBLIC_IP:32350 访问此服务也不是 http://NODE1_PUBLIC_IP:32350 .

只能通过 http://MY_VM_IP:32350 访问从我的笔记本电脑。

此外:我无法进入 nginx-behind-nat pod 通过 kubectl exec任何一个。

有没有办法实现它？

最佳答案

如 Kubernetes documentation 中所述:

Kubernetes imposes the following fundamental requirements on any networking implementation (barring any intentional network segmentation policies):

all containers can communicate with all other containers without NAT

all nodes can communicate with all containers (and vice-versa) without NAT

the IP that a container sees itself as is the same IP that others see it as

What this means in practice is that you can not just take two computers running Docker and expect Kubernetes to work. You must ensure that the fundamental requirements are met.

默认情况下，从 api-server 到节点、端口或服务的连接只是纯 HTTP，没有身份验证和加密。
它们可以通过 HTTPS 工作，但默认情况下，apiserver 不会验证 HTTPS 端点证书，因此它不会提供任何完整性保证，并且可能会受到中间人攻击。

有关保护集群内部连接的详细信息，请查看 document

关于docker - NAT服务暴露背后的Kubernetes节点，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/50456901/

25

4

0

文章推荐： java - 自定义阻塞队列锁定问题

文章推荐： python - NetworkX - 如何从 Shapefile 创建 MultiDiGraph？

文章推荐： java + 我应该使实例变量类不可变吗

文章推荐： java - 如何在 JavaFX 中的(页面、场景)之间导航

testing - DBT 暴露
我对 DBT 还很陌生，正在尝试探索如何进行曝光。我已经阅读了文档 ( https://docs.getdbt.com/docs/building-a-dbt-project/exposures )，
testing - DBT 暴露
我对 DBT 还很陌生，正在尝试探索如何进行曝光。我已经阅读了文档 ( https://docs.getdbt.com/docs/building-a-dbt-project/exposures )，
python - 暴露 __main__
这在Python中合法吗？似乎有效... 谢谢 # with these lines you not need global variables anymore if __name__ == '__m
docker - 暴露 Docker 端口的问题
我正在尝试使用 tomcat Docker 镜像打包一个 war 文件。我正在尝试在图像中公开 tomcat 端口以供外部访问。这是我的docker文件 FROM tomcat8:3.0.0 C
linux - 暴露 Docker 容器端口
我一直在尝试通过 ip 连接到 docker 容器，但再次失败。当我使用“docker inspect container-id”时，我得到了这个结果。我的虚拟盒子默认设置是: 有人可以帮我解决这个
network-programming - 暴露 Docker 容器端口
我知道要在 docker 容器中公开端口，您可以使用 -p标志(例如 -p 1-100:1-100 )。但是有没有一种很好的方法可以将大部分可能的端口从容器暴露给主机？例如，如果我在位于 VM 中的容
Kotlin ktor 暴露 DSL 插入引用
我正在开发一个带有 ktor 应用程序的 Kotlin，并且我使用暴露为 ORM。我有一个引用另一个表的表。这种关系是多对一的。前任: object Users : IdTable() { ov
javascript - 暴露 polymer 中的 API
我正在尝试学习 polymer ，并且正在尝试制作一个基本的消息传递框架。所以我创建了一个名为 messages-framework 的小 polymer 元素，它将显示消息，并在 3 秒后删除该消息
javascript - 前端 API token 暴露
我的问题很简单也很笼统:当调用 RESTFUL API 时，无论是我的还是外部的，将 token 暴露在前端是否是常见做法/可以？例如，在 Google map api 的文档中，他们建议使用以下代码
database - 暴露 key 时屏蔽数据库大小？ (不影响性能)
我们有一个包含 1000 万条记录的数据库表。我们不想使用 auto_increment，因为那样会让我们的用户知道我们有多少条记录。我们不想将其暴露给我们的竞争对手。我看到的问题是使用 UUID 或
json - 暴露: How to parse JSON into an Entity class
我有以下用户表对象和实体类: object UserTable : IntIdTable() { val name = varchar("name", 256) } class User(id
kubernetes - 为什么我们需要一个负载均衡器来使用 ingress 暴露 kubernetes 服务？
对于部署在 Google kubernetes 引擎上的基于微服务的示例架构，我需要帮助来验证我的理解: 我们知道服务应该对 pod 副本集的流量进行负载平衡。当我们创建一个 nginx 入口 Co
java - Android Cam 致命异常文件 URI 暴露
String caminhoFoto = getExternalFilesDir(null) + "/"+ System.currentTimeMillis() +".jpg";
javascript - 暴露 typescript 函数以调用 html 页面
我目前正在编写一个用 Parcel js 打包的 TypeScript 模块化库。应用程序将使用该库来实现特定功能。消费应用程序/网页将在其 html 中添加对我的库的引用，例如。我想在我的库中公
javascript - 暴露 mongodb 的 id 和安全性
mongodb 生成的 ID 在您的所有文档中都是唯一的，将其暴露给客户端的风险是什么？就像我有一个 ID 为 12345676543 的用户名 James，将它暴露给 url 是明智的吗 examp
java - 暴露 GCM SENDER ID 会产生什么后果？
场景:假设攻击者通过对.apk文件进行逆向工程，获取了应用中使用的Push Registration Service的SENDER ID。攻击者开发了一个类似的虚假应用程序，它具有相同/不同的包名，并
spring - 使用 spring boot starter 暴露 GraphqlExceptions
当使用 Spring Boot starter 进行 graphql 时，数据获取时抛出的所有异常都在输出控制台中显示为“执行查询时的内部服务器错误”我希望我抛出的 e.message() 的 Gra
docker - ASP.NET Core + Docker + 暴露 wwwroot
我正在尝试使用 Docker 运行 ASP.NET Core 应用程序，并且我想将外部 wwwroot 文件夹公开给容器，以便当我从外部对其进行更改时，它们会自动对我的应用程序可用。这可能吗，使用卷？
vb.net - 暴露 WCF 服务无法通过 windows 防火墙检索对象
我构建了一个 WCF 服务，它为 Web 应用程序公开自身，它接受一个对象并在客户端机器上打印数据。在我的开发机器上运行良好，该服务在我安装它的任何机器上启动并运行。我可以在客户端机器的 Web 浏览
python - Gunicorn/flask API 暴露 sklearn 模型不工作
我似乎无法弄清楚这一点。我有一个使用 scikit-learn 训练的模型，保存到一个 .pkl 文件中，我想制作一个 API 来根据它进行预测。我已经有了进行预测的代码，它在控制台/单元测试中运行

首页

博学

6Ren·AI

商城

docker - NAT服务暴露背后的Kubernetes节点