个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
如何允许 Cloud Composer Airflow DAG 通过 VPN 网关连接到 REST API?集群连接到相应的 VPC。
kube-proxy 能够访问 API,但容器不能。
我已通过 SSH 连接到 kube-proxy 和容器并尝试了跟踪路由。容器的 traceroute 以 kube-proxy 结束。 kube-proxy 在到达目的地之前有 4 跳。
我已经从 kube-proxy 转储了 iptables,它们没有指定任何关于使用容器对 VPC 子网进行 NAT 的说明。
VPC 子网也没有出现在容器中,这是设计使然。
一些阅读 Material :
https://www.stackrox.com/post/2020/01/kubernetes-networking-demystified/
EDIT1:更多信息:
假设 VPN 将 VPC 连接到远程 10.200.0.0 网络。
VPC 有多个子网。主要范围是例如10.10.0.0/20。对于每个 Kubernetes 集群,我们还有两个子网,一个用于每个 pod (10.16.0.0/14),另一个用于服务 (10.20.0.0/20)。网关是 10.10.0.1。
每个 pod 都有自己的范围,其中 pod_1 是 10.16.0.0/14,pod_2 是 10.16.1.0/14,pod_3 10.16.3.0/14 等等。
其中一个 kube-proxy 有多个网络适配器。它位于具有 eth0 的 10.10.0.0 网络中,并且有一个到 10.16.0.0 的 cbr0 网桥。通过桥接的 kube-proxy,Airflow 的工作人员正在连接到网络。一名 worker 10.16.0.1 只有一个网络适配器。
kube-proxy 可以到达 10.200.0.0 网络。 Airflow worker 不能。
我们如何让 worker 访问 10.200.0.0 网络?我们需要更改kube-proxy的iptables吗?
最佳答案
一种可能的解决方案是将包从 kube 虚拟接口(interface)转发到节点的真实接口(interface)。例如。将以下规则添加到 ip 表:
iptables -A FORWARD -i cbr0 -o eth0 -d 10.200.0.0/25 -j ACCEPT
iptables -A FORWARD -i eth0 -o cbr0 -s 10.200.0.0/25 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
关于networking - 如何将 Cloud Composer Airflow DAG 连接到 VPN,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62879352/
25
4
0
我的代码遵循 theory : Set-VpnConnection -Name fr1-ovpn-tcp.pointtoserver.com -SplitTunneling $True Set-Vpn
我正在尝试通过我的主机将我的 Vagrant CentOS 机器连接到 VPN。我跟着这个:https://gist.github.com/mitchellh/1277049 但我仍然无法连接到仅限
我已阅读 this ,但他们提到他们将在后续文章中描述选项,但看起来似乎从未写过。我有什么选择? 如果重要的话我会使用 OpenVPN,并且我可以访问服务器和客户端配置。 最佳答案 我认为有以下可能的
已关闭。这个问题是 not about programming or software development 。目前不接受答案。 这个问题似乎不是关于 a specific programming
我有一个场景,我在 Windows Azure 中有一个 Windows VM,需要连接到外部客户网络(并连接到不在 Azure 中的数据库)。 此流量是单向的,因为只有我的虚拟机需要连接到客户的数据
我在 Windows 7 中建立了一个名为“我的 VPN”的 VPN 连接,它保存了凭据。因此,当我在 Windows 中手动启动 VPN 时,它会立即连接,而无需询问用户的登录名或密码。 我现在想使
我的办公室网络使用 Pulse Secure 连接到 VPN。我正在使用 ngrok 隧道化我的 Python 脚本。当 VPN 关闭时,ngrok 成功隧道我的服务器,但 Python 脚本需要访问
我正在使用基本的 Cisco VPN 客户端(我相信是 v.5)。无论如何以编程方式确定特定配置文件(或与此相关的任何配置文件)是否已连接? 我希望以某种方式从客户端本身获得状态。我不想尝试 ping
在我的企业中,在听到社区的赞誉后,我们开始迁移到基于 WSL2 的解决方案。 但是,在我们连接到我们的企业 VPN 后,WSL 无法连接到外部网站(以及 VPN 内部的网站)。 似乎是windows内
有 VPN 的系统设置。我可能会根据 VpnService 添加额外的 VPN 服务类(class)。正如我所见,有一个方法 setConfigureIntent 看起来与我需要的东西相似,但我没有看
我有一个 WorkRequest我想在设备有互联网连接时运行。 Constraints似乎是这样做的方法 - 我可以定义一个 NetworkType像这样的约束: val constraints =
我想监控包含使用 zabbix 安装的 VPN(strongswan) 的服务器。 从我的 Zabbix 服务器无法访问安装在我的 VPN 服务器中的 zabbix 客户端。他们有什么方法可以打开za
我目前正在通过 Juniper 使用 Web 界面进行 VPN,该界面要求输入用户名和密码。我想以编程方式连接,但我必须使用 nclauncher.exe ,这需要我进入一个“境界”。 如何找出我正在
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?将问题更新为 on-topic对于堆栈溢出。 2年前关闭。 Improve this qu
早上好! 我使用 check point mobile 连接到我的客户端 VPN,并且我在 docker 中有 2 个容器:mysql 和 karaf 都共享我使用命令 docker network
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 4 个月前关闭。 Improve t
我尝试了几天在 2 个站点之间创建 VPN 隧道,但没有成功。 场景 我有以下场景: 站点 A 的 IP 地址为 192.168.1.0/24,网关 GWA 的地址为 192.168.1.254 和
我从不止一位 IT 经理那里听说,他们不允许用户使用 RDP 从外部连接到他们的内部网络,因为这不安全。他们声称,如果他们允许他们的用户这样做,那么外部的任何人都可以访问他们的网络。 我不明白。要使用
大约一周以来,一些用户在尝试使用 Azure VPN 客户端进行连接时随机遇到了此问题。有些人已经连续一周遇到这个问题,而另一些人则已经经历了一段时间才自行解决。 尝试连接时,身份验证成功,但 VPN
大约一周以来,一些用户在尝试使用 Azure VPN 客户端进行连接时随机遇到了此问题。有些人已经连续一周遇到这个问题,而另一些人则已经经历了一段时间才自行解决。 尝试连接时,身份验证成功,但 VPN
我是一名优秀的程序员,十分优秀!