个人中心
gpt4 book ai didi

networking - 通过 VPN 从 GKE Pod 流出的流量

转载 作者:行者123 更新时间:2023-12-02 11:34:08 27 4
gpt4 key购买 nike

我有一个 VPC 网络,其子网位于 10.100.0.0/16 范围内,节点位于其中。有一个路由和防火墙规则应用于范围 10.180.102.0/23,它路由并允许进出 VPN 隧道的流量。

如果我在 10.100.0.0/16 范围内部署一个节点,我可以 ping 我在 10.180.102.0/23 范围内的设备。但是,在该节点内运行的 pod 无法 ping 通 10.180.102.0/23 范围内的设备。我认为这与 pod 位于不同的 IP 范围 (10.12.0.0/14) 中这一事实有关。

如何配置我的网络,以便我可以与 10.180.102.0/23 范围内的设备进行 ping/通信?

最佳答案

我不太记得具体如何解决,但我发布了我必须帮助@tdensmore 的内容。

您必须编辑 ip-masq-agent(这是一个在 GKE 上运行的伪装 IP 的代理),此配置负责让节点内的 pod 到达 GCP VPC 网络的其他部分,更具体地说VPN。因此,它允许 pod 与可通过 VPN 访问的设备进行通信。

首先,我们将在 kube-system 命名空间内工作,我们将放置配置 ip-masq-agent 的 configmap,将其放入 配置文件:

nonMasqueradeCIDRs:
  - 10.12.0.0/14  # The IPv4 CIDR the cluster is using for Pods (required)
  - 10.100.0.0/16 # The IPv4 CIDR of the subnetwork the cluster is using for Nodes (optional, works without but I guess its better with it)
masqLinkLocal: false
resyncInterval: 60s

并运行 kubectl create configmap ip-masq-agent --from-file config --namespace kube-system

然后,配置 ip-masq-agent,将其放入 ip-masq-agent.yml 文件中:

apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  name: ip-masq-agent
  namespace: kube-system
spec:
  template:
    metadata:
      labels:
        k8s-app: ip-masq-agent
    spec:
      hostNetwork: true
      containers:
      - name: ip-masq-agent
        image: gcr.io/google-containers/ip-masq-agent-amd64:v2.4.1
        args:
            - --masq-chain=IP-MASQ
            # To non-masquerade reserved IP ranges by default, uncomment the line below.
            # - --nomasq-all-reserved-ranges
        securityContext:
          privileged: true
        volumeMounts:
          - name: config
            mountPath: /etc/config
      volumes:
        - name: config
          configMap:
            # Note this ConfigMap must be created in the same namespace as the daemon pods - this spec uses kube-system
            name: ip-masq-agent
            optional: true
            items:
              # The daemon looks for its config in a YAML file at /etc/config/ip-masq-agent
              - key: config
                path: ip-masq-agent
      tolerations:
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
      - key: "CriticalAddonsOnly"
        operator: "Exists"

然后运行 ​​kubectl -n kube-system apply -f ip-masq-agent.yml

注意:自从我完成此操作以来已经有很长时间了,此链接中有更多信息:https://cloud.google.com/kubernetes-engine/docs/how-to/ip-masquerade-agent

关于networking - 通过 VPN 从 GKE Pod 流出的流量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59207115/

27 4 0
文章推荐: kubernetes - 通过访问限制列出的 Kubernetes 命名空间
文章推荐: kubernetes - 更改 configMap 后重启 kubernetes 部署
文章推荐: kubernetes 健康检查查找字符串
文章推荐: kubernetes - 如何使用 Kubernetes fieldSelector 查询 ownerReferences
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com