主页 / user-858400

Sebastian's questions

Martin Hope
Sebastian
Asked: 2021-11-18 05:31:50 +0800 CST
  • 0

我有一个NodeJS应用程序express.js作为后端框架使用 Kubernetes 部署在云上。K8s 在 Ubuntu 模板之上运行。部署在 Kubernetes 中的应用程序serviceNodePort. 这意味着应用程序使用 K8s 节点的外部 IP 地址。就我而言,它当前正在使用其中一个主节点的外部 IP 地址。

然后,我使用 Cloudflare Tunnel(又名 Argo Tunnel)为应用程序分配了一个 DNS 主机名。它工作得非常好,因为我可以使用已解析的 DNS 主机名从 K8s 集群外部访问应用程序。但是,我也可以直接从a.b.c.d: 31130. 以下是config.yml用于创建 Cloudflare 隧道的文件片段:

tunnel: ***********8ab68bscjbi9cddhujhdhbh
credentials-file: /home/sebastian/.cloudflared/***********8ab68bscjbi9cddhujhdhbh.json

ingress:
  - hostname: myapp.test.io
    service: http://a.b.c.d:31130
  - service: http_status:404

我在这里关心的是,如何拒绝或阻止对应用程序的直接 IP 访问,因为我不想透露 IP 地址并从安全的角度让自己生活困难?

这是否必须从 Cloudflare 或 K8s 集群中配置也是我的疑问。任何反馈和建议将不胜感激。

domain-name-system ip kubernetes
Martin Hope
Sebastian
Asked: 2021-11-02 09:59:54 +0800 CST
  • 1

我一直在阅读关于服务和 Pod 的 DNS 的K8s 文档。我要解决的主要任务是我的 K8s 部署具有NodePort服务类型。这意味着,我使用来自节点的外部 IP 地址将服务公开到 Internet。当我这样做时,我的 IP 地址会暴露出来,我宁愿拥有一个主机名 [一个 DNS 名称]。通过上面链接的文档,由于我是 K8s 的新手,我不太了解这些概念。

我从 NGINX 为 Bare Metal K8s 设置了 Ingress Controller,因为我的云提供商不提供负载平衡服务。

所以我的问题是:如何在我的 K8s 集群中设置 ExternalDNS?

仅供参考,这些是我在 K8s 集群中的资源。

Namespaces
NAME              STATUS   AGE
default           Active   3d12h
ingress-nginx     Active   5h53m
kube-node-lease   Active   3d12h
kube-public       Active   3d12h
kube-system       Active   3d12h

基本上,我的所有部署都在default命名空间内。

kubectl get all -n default

 NAME                               READY   STATUS    RESTARTS   AGE
pod/hello-docker-cc749b757-qfctr   1/1     Running   0          70m

NAME                   TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
service/hello-docker   NodePort    10.xxx.xxx.xxx   <none>        3000:30072/TCP   70m
service/kubernetes     ClusterIP   10.xxx.xxx.xxx   <none>        443/TCP          3d12h

NAME                           READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/hello-docker   1/1     1            1           70m

NAME                                     DESIRED   CURRENT   READY   AGE
replicaset.apps/hello-docker-cc749b757   1         1         1       70m

这是我用于hello-docker应用程序服务和部署的清单文件:

apiVersion: v1
kind: Service
metadata: 
 name: hello-docker 
 labels:   
   app: hello-docker
spec: 
 type: NodePort
 ports:
 - port: 3000
   targetPort: 8000
   protocol: TCP
   name: http
 selector:
   app: hello-docker

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: hello-docker
  labels:
    app: hello-docker
spec:
  replicas: 1
  selector:
    matchLabels:
      app: hello-docker
  template:
    metadata:
      labels:
        app: hello-docker
    spec:
      imagePullSecrets:
      - name: regcred
      containers:
      - name: hello-docker
        image: sebastian/hello-docker:1.1
        imagePullPolicy: Always
        ports:
          - containerPort: 8000

任何反馈和建议将不胜感激。

domain-name-system kubernetes
Martin Hope
Sebastian
Asked: 2021-10-02 11:07:41 +0800 CST
  • 1

此问题来自以下文档How to deploy Kubernetes using Kubespray。我逐字逐句地遵循他们的文档并达到了这一点:

ansible -i inventory.ini -m ping all

这是文档中的上述命令

该文档概述了使用 Kubespray 和 Terraform 将 Kubernetes 部署到 UpCloud 的所有必要步骤。如前所述,我可以执行所有命令,直到点击命令:ansible -i inventory.ini -m ping all

Enter passphrase for key '/home/summer/.ssh/id_rsa':
kubespray-worker-2 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Warning: Permanently added '<IP address>' (ECDSA) to the list of known hosts.\r\nubuntu@<IP address>: Permission denied (publickey).",
    "unreachable": true
}

Enter passphrase for key '/home/summer/.ssh/id_rsa':
kubespray-worker-0 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Warning: Permanently added '<IP address>' (ECDSA) to the list of known hosts.\r\nConnection closed by <IP address> port 22",
    "unreachable": true
}

Enter passphrase for key '/home/summer/.ssh/id_rsa':
kubespray-worker-1 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Warning: Permanently added '<IP address>' (ECDSA) to the list of known hosts.\r\nubuntu@<IP address>: Permission denied (publickey).",
    "unreachable": true
}
kubespray-master-0 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Warning: Permanently added '<IP address>' (ECDSA) to the list of known hosts.\r\nubuntu@<IP address>: Permission denied (publickey).",
    "unreachable": true
}

以上图片形式错误,供进一步参考

请注意:隐藏在白色墨水中的区域是分配给上图中每个节点的公共 IP 地址

我可以通过点击远程访问 Ubuntu 服务器:ssh <username>@<ip_address>. 这是一个快照,cluster-settings.tfvars看看我是否搞砸了一些东西:

zone     = "fe-fxfx"
username = "ubuntu"

# Prefix to use for all resources to separate them from other resources
prefix = "kubespray"

inventory_file = "inventory.ini"

#  Set the operating system using UUID or exact name
template_name = "Ubuntu Server 20.04 LTS (Focal Fossa)"

ssh_public_keys = [
  # Put your public SSH key here
  "removed the Public Key for security reasons",
]

此外,cluster-settings,tfvars文件中的图像供参考: cluster-settings.tfvars

ping 节点的结果也是不规则的,从某种意义上说,如果master-0在一个实例中成功 ping,在另一个实例中,它们都没有被 ping [再次尝试时]。虽然,有时worker-2被 ping 通,而休息则没有。

ssh ping ansible