$lang['tuto'] = "hướng dẫn"; ?> Giải quyết các vấn đề truy cập mạng cho nhóm

Giải quyết các vấn đề truy cập mạng cho nhóm K3S trong Rancher

Giải quyết các vấn đề truy cập mạng cho nhóm K3S trong Rancher
Jules David
20:07:27 Thứ Ba, 18 tháng 2, 2025
Networking

Hiểu giới hạn mạng trong K3S 🛜

Khi thiết lập cụm Kubernetes với Rancher và K3s, mạng có thể trở thành một thách thức lớn. Một vấn đề phổ biến phát sinh khi các nút công nhân có thể đến các mạng bên ngoài, nhưng các nhóm chạy trong các nút đó bị hạn chế. Điều này có thể gây khó chịu, đặc biệt là khi các nút của bạn có các tuyến đường thích hợp được cấu hình, nhưng nhóm của bạn vẫn bị cô lập.

Kịch bản này thường gặp trong các môi trường nơi các nút công nhân là một phần của kiến ​​trúc mạng rộng hơn. Ví dụ: các nút công nhân của bạn có thể thuộc về mạng con 192.168.1.x và có thể truy cập vào một mạng con khác, như 192.168.2.x, thông qua các tuyến tĩnh. Tuy nhiên, các nhóm chạy trên các nút đó không thể giao tiếp với các máy vào năm 192.168.2.x.

Thách thức ở đây nằm ở cách Kubernetes quản lý mạng và cách lưu lượng truy cập từ các pod đến các điểm đến bên ngoài. Nếu không có cấu hình thích hợp, POD chỉ có thể truy cập các tài nguyên trong mạng nút của họ, khiến các máy bên ngoài không thể truy cập được. Hiểu lý do tại sao điều này xảy ra là rất quan trọng để tìm ra một giải pháp.

Trong bài viết này, chúng tôi sẽ khám phá lý do tại sao POD phải đối mặt với các hạn chế mạng này và cách cho phép chúng truy cập vào các mạng con bên ngoài. Thông qua các bước thực tế và các ví dụ trong thế giới thực, chúng tôi sẽ giúp bạn thu hẹp khoảng cách kết nối này. Hãy để lặn xuống! 🚀

Yêu cầu Ví dụ về việc sử dụng
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE Thêm quy tắc NAT (Dịch địa chỉ mạng) để cho phép POD giao tiếp với các mạng bên ngoài bằng cách giả mạo IP nguồn của chúng.
echo 1 >echo 1 > /proc/sys/net/ipv4/ip_forward Cho phép chuyển tiếp IP, cho phép các gói từ một mạng được định tuyến sang một mạng khác, điều này rất cần thiết cho giao tiếp chéo.
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0 Thêm một tuyến đường tĩnh, hướng lưu lượng truy cập vào mạng 192.168.2.x thông qua cổng 192.168.1.1.
iptables-save >iptables-save > /etc/iptables/rules.v4 Tồn tại các quy tắc Iptables để chúng vẫn hoạt động sau khi khởi động lại hệ thống.
systemctl restart networking Khởi động lại dịch vụ mạng để áp dụng các tuyến và quy tắc tường lửa mới được cấu hình.
hostNetwork: true Cấu hình POD Kubernetes cho phép một container chia sẻ mạng máy chủ, bỏ qua các hạn chế mạng cụm bên trong.
securityContext: { privileged: true } Cấp cho một bộ chứa Kubernetes tăng cường quyền, cho phép nó sửa đổi các cài đặt mạng trên máy chủ.
ip route show Hiển thị bảng định tuyến hiện tại, giúp gỡ lỗi các vấn đề kết nối giữa các mạng con.
command: ["sh", "-c", "ping -c 4 192.168.2.10"] Chạy thử nghiệm kết nối mạng cơ bản bên trong Pod Kubernetes để xác minh quyền truy cập bên ngoài.
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >>echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces Thêm một tuyến tĩnh liên tục vào tệp cấu hình mạng hệ thống, đảm bảo nó vẫn còn sau khi khởi động lại.

Đảm bảo kết nối giữa các mạng cho Pods K3S

Khi triển khai Với Rancher, các vấn đề kết nối mạng có thể phát sinh khi POD cần giao tiếp với các máy bên ngoài mạng con ngay lập tức của chúng. Các tập lệnh cung cấp địa chỉ vấn đề này bằng cách sửa đổi các quy tắc định tuyến và định cấu hình NAT (dịch địa chỉ mạng). Một tập lệnh khóa sử dụng Để áp dụng một quy tắc giả mạo, đảm bảo rằng lưu lượng truy cập POD dường như đến từ chính nút công nhân. Điều này cho phép các máy bên ngoài phản hồi các nhóm, khắc phục sự cô lập mạng mặc định.

Một cách tiếp cận khác liên quan đến việc thêm các tuyến tĩnh. Các nút công nhân thường có quyền truy cập vào các mạng khác thông qua các tuyến tĩnh, nhưng các nhóm Kubernetes không kế thừa các tuyến này theo mặc định. Bằng cách chạy một tập lệnh rõ ràng thêm một tuyến đường đến 192.168.2.x thông qua cổng nút Node, chúng tôi đảm bảo rằng các POD có thể tiếp cận các máy đó. Điều này rất cần thiết trong các môi trường nơi nhiều mạng nội bộ cần giao tiếp, chẳng hạn như các công ty có VLAN riêng cho các bộ phận khác nhau.

Để tự động hóa quá trình, một có thể được triển khai. Điều này đảm bảo rằng các cấu hình mạng được áp dụng nhất quán trên tất cả các nút trong cụm. Daemonset chạy một thùng chứa đặc quyền thực thi các lệnh mạng, làm cho nó trở thành một giải pháp có thể mở rộng. Phương pháp này đặc biệt hữu ích khi quản lý một đội các nút công nhân lớn, trong đó cấu hình thủ công mỗi nút sẽ không thực tế. Hãy tưởng tượng một ứng dụng dựa trên đám mây cần truy cập vào cơ sở dữ liệu kế thừa được lưu trữ trong một mạng con khác, thiết lập này đảm bảo kết nối liền mạch.

Cuối cùng, thử nghiệm là rất quan trọng. Tập lệnh được cung cấp triển khai một nhóm BusyBox đơn giản cố gắng ping một máy bên ngoài. Nếu ping thành công, nó xác nhận rằng bản sửa lỗi kết nối đang hoạt động. Loại xác minh trong thế giới thực này là vô giá trong môi trường sản xuất, trong đó các cấu hình mạng bị hỏng có thể dẫn đến sự gián đoạn dịch vụ. Bằng cách kết hợp các phương pháp này, các tuyến đường tĩnh, tự động hóa Kubernetes và thử nghiệm trực tiếp, chúng tôi tạo ra một giải pháp mạnh mẽ để truy cập mạng lưới trong các cụm K3S. 🚀

Đảm bảo kết nối POD với các mạng bên ngoài trong K3S

Sử dụng Iptables để định cấu hình NAT để giao tiếp pod

#!/bin/bash
# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Add NAT rule to allow pods to access external networks
iptables -t nat -A POSTROUTING -s 10.42.0.0/16 -o eth0 -j MASQUERADE
# Persist iptables rule
iptables-save > /etc/iptables/rules.v4
# Restart networking service
systemctl restart networking

Cho phép các vỏ K3s tiếp cận các mạng con bên ngoài thông qua việc tiêm tuyến đường

Sử dụng các tuyến tĩnh và cấu hình CNI

#!/bin/bash
# Add a static route to allow pods to reach 192.168.2.x
ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0
# Verify the route
ip route show
# Make the route persistent
echo "192.168.2.0/24 via 192.168.1.1 dev eth0" >> /etc/network/interfaces
# Restart networking
systemctl restart networking

Sử dụng Daemonset Kubernetes để áp dụng các quy tắc mạng

Triển khai Daemonset Kubernetes để định cấu hình mạng nút

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: k3s-network-fix
spec:
  selector:
    matchLabels:
      app: network-fix
  template:
    metadata:
      labels:
        app: network-fix
    spec:
      hostNetwork: true
      containers:
      - name: network-fix
        image: alpine
        command: ["/bin/sh", "-c"]
        args:
        - "ip route add 192.168.2.0/24 via 192.168.1.1"
        securityContext:
          privileged: true

Kết nối mạng thử nghiệm từ một pod

Sử dụng Pod BusyBox của Kubernetes để xác minh quyền truy cập mạng

apiVersion: v1
kind: Pod
metadata:
  name: network-test
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["sh", "-c", "ping -c 4 192.168.2.10"]
  restartPolicy: Never

Tối ưu hóa mạng K3S để giao tiếp đa mạng

Một khía cạnh quan trọng nhưng thường bị bỏ qua của là vai trò của giao diện mạng container (CNI) trong việc quản lý kết nối POD. Theo mặc định, K3S sử dụng flannel làm CNI, giúp đơn giản hóa mạng nhưng có thể không hỗ trợ định tuyến nâng cao ra khỏi hộp. Trong trường hợp POD cần truy cập tài nguyên bên ngoài mạng con chính của họ, việc thay thế Flannel bằng CNI giàu tính năng hơn như Calico hoặc Cilium có thể cung cấp thêm tính linh hoạt và các tùy chọn định tuyến tùy chỉnh.

Một yếu tố quan trọng khác là độ phân giải DNS. Ngay cả khi định tuyến được cấu hình đúng, các POD vẫn có thể đấu tranh để kết nối với các dịch vụ bên ngoài do cài đặt DNS không chính xác. Kubernetes thường dựa vào Coredns, có thể không tự động giải quyết tên máy chủ từ các mạng bên ngoài. Định cấu hình cài đặt DNS tùy chỉnh trong cụm có thể giúp đảm bảo giao tiếp trơn tru giữa POD và máy trong các mạng con khác, cải thiện cả khả năng truy cập và hiệu suất.

Cân nhắc bảo mật cũng đóng một vai trò quan trọng. Khi mở rộng quyền truy cập POD ngoài mạng cục bộ, các quy tắc tường lửa và chính sách mạng phải được điều chỉnh cẩn thận để tránh phơi bày các tài nguyên nhạy cảm. Việc thực hiện các chính sách mạng Kubernetes có thể hạn chế lưu lượng không cần thiết trong khi cho phép các kết nối cần thiết. Ví dụ: dịch vụ web đang chạy trong POD có thể cần truy cập vào cơ sở dữ liệu từ xa nhưng không nên có quyền truy cập không giới hạn vào tất cả các máy bên ngoài. Quản lý các chính sách này tăng cường hiệu quả bảo mật trong khi duy trì kết nối cần thiết. 🔐

  1. Tại sao các nút công nhân có thể truy cập vào các mạng bên ngoài, nhưng POD không thể?
  2. Pods sử dụng nội bộ Mạng, tách biệt với ngăn xếp mạng máy chủ. Theo mặc định, họ không kế thừa các tuyến tĩnh của nút công nhân.
  3. Làm thế nào tôi có thể cho phép các nhóm K3S truy cập vào một mạng con bên ngoài?
  4. Bạn có thể sửa đổi các quy tắc định tuyến bằng cách sử dụng hoặc thêm các tuyến tĩnh với Để cho phép giao tiếp pod với các máy bên ngoài.
  5. Flannel có hỗ trợ định tuyến chéo không?
  6. Không, Flannel không cung cấp định tuyến nâng cao theo mặc định. Thay thế nó bằng calico hoặc cilium cung cấp nhiều quyền kiểm soát hơn các chính sách và tuyến đường mạng.
  7. Các chính sách mạng Kubernetes có thể giúp quản lý quyền truy cập bên ngoài không?
  8. Có, chúng cho phép bạn xác định các quy tắc mà POD có thể giao tiếp với các dịch vụ bên ngoài, cải thiện bảo mật và kết nối.
  9. Điều gì là cách tốt nhất để kiểm tra nếu một pod có thể đến một máy bên ngoài?
  10. Triển khai một nhóm tạm thời bằng cách sử dụng với một hình ảnh như BusyBox, sau đó sử dụng hoặc Bên trong vỏ để kiểm tra kết nối.

Tăng cường kết nối pod kubernetes

Định cấu hình mạng K3S để hỗ trợ truy cập chéo đòi hỏi phải kết hợp các chiến lược định tuyến, điều chỉnh tường lửa và chính sách mạng Kubernetes. Cho dù sử dụng IPTables, các tuyến tĩnh hoặc CNI nâng cao, hiểu cách PODS giao tiếp là chìa khóa để giải quyết các vấn đề này một cách hiệu quả. Những giải pháp này đảm bảo rằng việc triển khai Kubernetes có thể mở rộng quy mô mà không cần kết nối các nút thắt.

Kiểm tra và xác nhận cũng quan trọng như thực hiện. Sử dụng các công cụ như BusyBox để kiểm tra mạng trực tiếp giúp xác nhận các bản sửa lỗi kết nối. Một thiết lập mạng được tối ưu hóa tốt không chỉ cải thiện hiệu suất mà còn tăng cường bảo mật. Với cấu hình thích hợp, các cụm K3S có thể kết nối liền mạch với các hệ thống bên ngoài, làm cho việc triển khai linh hoạt hơn. 🔧

  1. Tài liệu chủ trang chủ chính thức về mạng K3S: Mạng lưới K3S Rancher
  2. Hướng dẫn chính thức của Kubernetes về chính sách mạng: Chính sách mạng Kubernetes
  3. Calico CNI cho mạng Kubernetes nâng cao: Dự án Calico
  4. Linux iptables và định tuyến thực tiễn tốt nhất: Netfilter/iptables Howto
  5. Hiểu mạng Kubernetes Pod: CNCF Kubernetes Mạng 101
  1. Tài liệu kết nối mạng chính thức của Kubernetes để hiểu giao tiếp mạng từ xa từ bên dưới: Mạng Kubernetes .
  2. Hướng dẫn chính thức của Rancher về việc định cấu hình mạng K3S và xử lý sự cố kết nối: Mạng lưới K3S Rancher .
  3. Các giải pháp mạng nâng cao của Calico cho Kubernetes, bao gồm cả định tuyến chéo: Mạng Calico .
  4. Tài liệu Flannel để hiểu hành vi mạng K3S mặc định: Flannel GitHub .
  5. Linux iptables và cấu hình định tuyến để mở rộng truy cập pod ngoài các nút công nhân: iptables archwiki .