V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  fighterhit  ›  全部回复第 1 页 / 共 4 页
回复总数  78
1  2  3  4  
不像脉脉,感觉这里大家说得都挺实在。两者都重要且不矛盾。
195 天前
回复了 fighterhit 创建的主题 Kubernetes ssh 端口转发和 K8S 网络问题
@dropdatabase cni calico 怎么解决呢?
202 天前
回复了 fighterhit 创建的主题 Kubernetes ssh 端口转发和 K8S 网络问题
@zzlyzq 对,现在想先用 vpn 连 apiserver ,然后再部署 raven 之类的;不然现在似乎 kubelet 没法连 apiserver
202 天前
回复了 fighterhit 创建的主题 Kubernetes ssh 端口转发和 K8S 网络问题
@zzlyzq 根据上面第 2 种方式:
1. 在 B 上新增 lo:1 ip: 172.xx.yy.zz ,如下
```
lo:1: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 172.xx.yy.zz netmask 255.255.0.0
loop txqueuelen 1000 (Local Loopback)
```
2. 在 A 上执行 ssh -R 6443:新增的 lo:1 ip:6443 -N B-user@B-ip -p B-port
3. 在 B 的 config server 换为 lo:1 ip ,执行 kubectl get po 报错:The connection to the server 172.xx.yy.zz:6443 was refused - did you specify the right host or port?
202 天前
回复了 fighterhit 创建的主题 Kubernetes ssh 端口转发和 K8S 网络问题
@zzlyzq
1. 请问“在本地新建一个 lo 接口”,是在 A 还是 B 上建呢?
2. 因为之前看到 openyurt 有个隧道方案,但前提是要节点先加到集群里 https://openyurt.io/zh/docs/user-manuals/network/raven ,所以想试试先把节点加到集群再部署 raven 。但现在用 socks5 方式节点加入集群 kubelet 还会报错,猜测是没走 socks5 代理导致的。尝试在 /etc/kubernetes/kubelet.conf 加入 proxy-url ,但每次重启 kubelet 新增的 proxy-url 都会消失,应该怎么让 kubelet 只在访问 apiserver 时走代理呢?
```
Sep 07 22:57:50 debian11 kubelet[21429]: E0907 22:57:50.210450 21429 kubelet.go:2466] "Error getting node" err="node \"debian11\" not found"
Sep 07 22:57:50 debian11 kubelet[21429]: E0907 22:57:50.311075 21429 kubelet.go:2466] "Error getting node" err="node \"debian11\" not found"
Sep 07 22:57:50 debian11 kubelet[21429]: E0907 22:57:50.337677 21429 file_linux.go:61] "Unable to read config path" err="path does not exist, ignoring" path="/etc/kubernetes/manifests"
Sep 07 22:57:50 debian11 kubelet[21429]: E0907 22:57:50.337862 21429 controller.go:144] failed to ensure lease exists, will retry in 200ms, error: Get "https://172.xx.yy.11:6443/apis/coordination.k8s.io/v1/namespaces/kube-node-lease/leases/debian11?timeout=10s": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
Sep 07 22:57:50 debian11 kubelet[21429]: E0907 22:57:50.412172 21429 kubelet.go:2466] "Error getting node" err="node \"debian11\" not found"

```
3. 请问 wg 搭建有没有比较好的资料参考,谢谢!
202 天前
回复了 fighterhit 创建的主题 Kubernetes ssh 端口转发和 K8S 网络问题
@zed1018 考虑过,这种搭建复杂吗? wg 安全不?
210 天前
回复了 NoobNoob030 创建的主题 程序员 内网穿透被网警打电话了
@bobryjosin “vpn 进来所有操作都是在内网保护环境下进行” 这个怎么理解呢?是什么在保护?还有就是假如我把内网服务用 ssh 隧道转发到某个公网节点上,这样和内网穿透有区别吗?
211 天前
回复了 NoobNoob030 创建的主题 程序员 内网穿透被网警打电话了
@yinmin @TESTFLIGHT2021 为啥 wiregurad 、ipsec 之类的就可以呢?和内网穿透有啥区别呢?最近还想把服务器通过 vpn 接进来有点慌
217 天前
回复了 fighterhit 创建的主题 Kubernetes 请教一个 k8s 网络安全方面问题
@sampeng 成本原因吧。有安全经验指教下?
218 天前
回复了 fighterhit 创建的主题 Kubernetes 请教一个 k8s 网络安全方面问题
@seers 还有一点是 vnode 只解决了资源接入问题,集群内地址网络访问也要互通,需要服务发现
218 天前
回复了 fighterhit 创建的主题 Kubernetes 请教一个 k8s 网络安全方面问题
@seers 只用 slb 对公网开放吗?不安全吧,正向代理主要考虑尽可能限制访问 apiserver 的客户端范围,不确定是否还有其它更好的办法?
218 天前
回复了 fighterhit 创建的主题 Kubernetes 请教一个 k8s 网络安全方面问题
@seers 对!刚才突然想到可以这样接入资源方便。但是第二点网络访问上怎么控制安全点呢?比如搭个正向代理,所有服务都走代理,数据中心防火墙只给代理机器开防火墙?
227 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@lwjef "所以双方都有被指路" 是什么意思呢?从图上看我理解 srv1 和 srv2 因为默认路由分别是到 a 、c 交换机, 到不了对方,所以需要手动配置静态路由到对方网段要走 b 交换机?(另外这里用 switch 表述是否准确呢?还是用网关合适?)
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
其实我对路由、路由器、网关、交换机这些概念有点迷,他们功能上有区别,但网上很多又说路由器也能当网关、交换机。
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@cdlnls 印象里运维每次是在两端服务器上加了一条这样的路由:目的地是对端服务器网段(或者具体 ip ),配置一个网关、掩码以及网卡,这样就可以了。运维这样配置看上去是只要把 到对方那个网段的包 送到配置的网关上就可以了?这是为啥呢?
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@revelationtan “写静态路由条目的话必须所有经过的路由器都写” ,印象里运维每次仅仅是在两端服务器上加了一条这样的路由:目的地是对端服务器网段(或者具体 ip ),配置一个网关掩码以及网卡,中间经过的路由器都没配,这样就可以了。运维的配置看上去是只要把到那个网段的包送到配置的网关好像就可以了(这又是为啥呢?),但按你说的好像中间路由器也都要配?
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@cdlnls 那换个角度说,既然去的包经过这些路由器能顺利到达目的端,说明路由器上有两端通信的路由,那回包理论上不是也可以按照路由信息回到源端呢?为啥反过来就不行了呢
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@revelationtan 不太理解,隔着一个网段为啥就必须两边都加呢?单加一边的话,去的包中间经过的路由器不都学会了路由信息了吗?回来时候再经过这些路由器按理说不是能回来吗?
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@cdlnls 对对,我记得就是你说的“路由器可以通过和其他路由器交换信息”,百科也这么说的 @billlee
https://baike.baidu.com/item/%E5%8A%A8%E6%80%81%E8%B7%AF%E7%94%B1/100533?fr=ge_ala 。这样的前提下去的包经过这些路由器学到了路由,那回包经过这些路由器不是也知道往哪走吗?
231 天前
回复了 fighterhit 创建的主题 问与答 问个弱弱的网络问题
@billlee 但记得之前上学学的时候路由器之间不是会广播学习吗?
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1223 人在线   最高记录 6543   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 19ms · UTC 23:21 · PVG 07:21 · LAX 16:21 · JFK 19:21
Developed with CodeLauncher
♥ Do have faith in what you're doing.