那些遇到过的问题

从 GKE Pod 通过 VPN 的出站流量

Hen*_*nke 2 vpn networking google-cloud-platform kubernetes google-kubernetes-engine

我有一个 VPC 网络,其子网范围为 10.100.0.0/16,节点驻留在其中。有一个路由和防火墙规则应用于范围 10.180.102.0/23,它路由并允许进出 VPN 隧道的流量。

如果我在 10.100.0.0/16 范围内部署节点,则可以 ping 10.180.102.0/23 范围内的设备。但是,在该节点内运行的 pod 无法 ping 10.180.102.0/23 范围内的设备。我认为这与 pod 位于不同的 IP 范围(10.12.0.0/14)有关。

如何配置我的网络,以便我可以与 10.180.102.0/23 范围内的设备进行 ping/通信?

Hen*_*nke 8

我不太记得究竟如何解决,但我正在发布我必须帮助@tdensmore 的内容。

您必须编辑 ip-masq-agent(这是一个在 GKE 上运行的代理,用于伪装 IP),此配置负责让节点内的 pod 到达 GCP VPC 网络的其他部分,更具体地说是 VPN。因此,它允许 Pod 与可通过 VPN 访问的设备进行通信。

首先,我们将在kube-system命名空间内工作,我们将把配置我们的 ip-masq-agent 的 configmap 放在一个config文件中:

nonMasqueradeCIDRs:
  - 10.12.0.0/14  # The IPv4 CIDR the cluster is using for Pods (required)
  - 10.100.0.0/16 # The IPv4 CIDR of the subnetwork the cluster is using for Nodes (optional, works without but I guess its better with it)
masqLinkLocal: false
resyncInterval: 60s
Run Code Online (Sandbox Code Playgroud)

并运行 kubectl create configmap ip-masq-agent --from-file config --namespace kube-system

之后,配置 ip-masq-agent,把它放在一个ip-masq-agent.yml文件中:

apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  name: ip-masq-agent
  namespace: kube-system
spec:
  template:
    metadata:
      labels:
        k8s-app: ip-masq-agent
    spec:
      hostNetwork: true
      containers:
      - name: ip-masq-agent
        image: gcr.io/google-containers/ip-masq-agent-amd64:v2.4.1
        args:
            - --masq-chain=IP-MASQ
            # To non-masquerade reserved IP ranges by default, uncomment the line below.
            # - --nomasq-all-reserved-ranges
        securityContext:
          privileged: true
        volumeMounts:
          - name: config
            mountPath: /etc/config
      volumes:
        - name: config
          configMap:
            # Note this ConfigMap must be created in the same namespace as the daemon pods - this spec uses kube-system
            name: ip-masq-agent
            optional: true
            items:
              # The daemon looks for its config in a YAML file at /etc/config/ip-masq-agent
              - key: config
                path: ip-masq-agent
      tolerations:
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
      - key: "CriticalAddonsOnly"
        operator: "Exists"
Run Code Online (Sandbox Code Playgroud)

并运行 kubectl -n kube-system apply -f ip-masq-agent.yml

注意:自从我这样做以来已经很长时间了,此链接中有更多信息:https : //cloud.google.com/kubernetes-engine/docs/how-to/ip-masquerade-agent

归档时间:

查看次数:

2582 次

最近记录:

5 年,9 月 前
相关归档
如何获取连接到路由器的设备详细信息? 11
是否可以在 GCP kubernetes 内运行 gcsfuse 而无需特权模式? 6
如何覆盖命名空间覆盖 6
Kubeadm为什么我的节点没有出现虽然kubelet说它加入了? 5
Spring Boot 2正常关闭Web 5
使用专用网络从Google Compute Engine访问Google Cloud SQL 3
默认节点选择器 3
UDP客户端 - 打开端口? 2
Kubernetes:在应用命令中指定集群上下文 2
我可以让Java更快吗? -8
难疑归档
如何在Python中安全地创建嵌套目录? 3909
如何检查列表是否为空? 3235
什么是JSONP,为什么创建它? 2040
如何确定变量是"未定义"还是"空"? 2000
我怎样才能过渡高度:0; 高度:自动; 用CSS? 1985
如何为所有浏览器垂直居中div? 1310
Markdown中的评论 1277
如何在PHP中使用bcrypt进行散列密码? 1230
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
jQuery获取特定的选项标签文本 1211