在 kubernetes 的网络模型中,基于官方默认的 CNI 网络插件 Flannel,这种 Overlay Network(覆盖网络)可以轻松的实现 pod 间网络的互通。当我们把基于 spring cloud 的微服务迁移到 k8s 中后,无须任何改动,微服务 pod 可以通过 Eureka 注册后可以互相轻松访问。
但是实际使用中,我们出现了以下需求:
- 1.办公室网络 和 k8s pod 网络不通。开发在电脑完成某个微服务模块开发后,希望本地启动后,能注册到 k8s 中开发环境的服务中心进行调试,而不是本地起一堆依赖的服务。
- 2.办公室网络 和 k8s svc 网络不通。在 k8s 中运行的 mysql、redis 等,无法通过 ingress 7层暴露,电脑无法通过客户端工具直接访问;如果我们通过 service 的 NodePort 模式,会导致维护量工作量巨大。
网络互通配置
k8s 集群中新加一台配置不高(2核3G)的 node 节点(node-3)专门做路由转发,连接办公室网络和 k8s 集群 pod、svc
- node-3 IP 地址 10.129.83.159
- 内网DNS IP 地址 10.129.83.159
- pod网段 172.20.0.0/16,svc网段 10.68.0.0/16
- 办公网段 10.129.0.0/24
给 node-3节点打上污点标签(taints),不让 k8s 调度 pod 来占用资源:
kubectl taint nodes node-3 forward=node-3:NoSchedulenode-3节点,做snat:
# 开启转发
# vim /etc/sysctl.d/k8s.conf
net.ipv4.ip_forward = 1
# sysctl -p
# 来自办公室访问pod、service snat
iptables -t nat -A POSTROUTING -s 10.129.0.0/24 -d 172.20.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.129.0.0/24 -d 10.68.0.0/16 -j MASQUERADE在办公室的出口路由器上,设置静态路由,将 k8s pod 和 service 的网段,路由到 node-3节点上
ip route 172.20.0.0 255.255.0.0 10.129.83.159
ip route 10.68.0.0 255.255.0.0 10.129.83.159
DNS 解析配置
以上步骤操作后,我们就可以在本地电脑通过访问 pod ip 和 service ip 去访问服务。但是在 k8s 中,由于 pod ip 随时都可能在变化,service ip 也不是开发、测试能轻松获取到的。我们希望内网 DNS 在解析 *.cluster.local,去coreDNS寻找解析结果。
这里也可以测试一下,podip是可以通的,但是svc不行,因为svc的ip是虚拟ip。
例如,我们约定将(项目A 、开发环境一 、数据库mysql)部署到 ProjectA-dev1 这个 namespace 下,由于本地到 k8s 集群 service 网络已经打通,我们在本地电脑使用 mysql 客户端连接时,只需要填写mysql.ProjectA-dev1.svc.cluster.local即可,DNS 查询请求到了内网DNS后,走向 CoreDNS,从而解析出 service ip。
由于内网 DNS 在解析 *.cluster.local,需要访问 CoreDNS 寻找解析结果。这就需要保证网络可达
最简单的做法,我们把内网DNS部署在node-3这台节点上,那么他肯定访问到kube-dns 10.68.0.2
# kubectl get svc -n kube-system |grep kube-dns
kube-dns ClusterIP 10.68.0.2 <none> 53/UDP,53/TCP,9153/TCP 7h1m
因为当前环境中内网dns就部署在node-3这台机器上,所以直接配置即可。
首先部署内网dns(有dns的略过)
本环境以centos7为例,安装轻量级的dns服务dnsmasq
#yum install -y dnsmasq
#vim /etc/resolv.conf #这个DNS指定本地服务器ip
# Generated by NetworkManager
nameserver 10.129.83.159
#vim /etc/dnsmasq.conf
resolv-file=/etc/resolv.dnsmasq.conf #上游DNS路径,这里面配置电信、谷歌等公有dns。
strict-order #取消strict-order注释
addn-hosts=/etc/dnsmasq.hosts #可以配置所有服务器的主机地址和对应的主机名
listen-address=127.0.0.1,10.129.83.159 #监听地址,改成自己服务器IP
server=/cluster.local/10.68.0.2 #指定以cluster.local为后缀的域名,使用coredns的地址解析。
#systemctl start dnsmasq #启动服务
可以看到已经启动成功。
#systemctl enable dnsmasq #开机自动启动
注意:其他服务器或者本地windows要使用这个dns,就把dns配置为此服务器的地址。
测试
