用wiregurad打通两个Kubernetes集群

已于 2022-10-27 22:34:46 修改
阅读量710 收藏 1
点赞数
分类专栏: kubernetes 多集群 文章标签: kubernetes 容器
于 2022-10-27 16:14:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xialingming/article/details/127549265
版权

背景

随着分布式云的发展,多集群的场景越来越普遍,当各个集群部署完毕后,集群间pod cidr是不通的,那么为了是东西向访问更加mesh 更加扁平,我们希望用VPN的方式将集群间的POD 网段拉通。

由于集群中的节点众多,我们本篇先入门,首先解决两个集群中的Gateway Node 间的互通。至于集群间的非Gateway Node 我们放在下一篇文章去解决。

VPN方式

  1. IPsec
    IPsec 有很多实现,这个协议非常灵活,终端配置也不算复杂,本文暂且不写这种方式。
  2. Wireguard
    wireguad 是本文的写作目的,它的配置相对来说比较简单。

环境描述

Cluster1:

Gateway Node: 192.169.33.17
Pod Cidr: 172.19.0.0/16

Cluster2:

Gateway Node: 192.169.33.18
Pod Cidr: 172.22.0.0/16

操作步骤

  1. 安装wireguard
    这里安装很容易,安装官网的方式,一行命令即可。我是Ubuntu,所以直接在两个集群的Gateway Node 上分别部署:

    root@edge1-1:~# apt install wireguard
root@edge1-1:~# modprobe wireguard && lsmod | grep -i wireguard
wireguard             221184  0
ip6_udp_tunnel         16384  2 wireguard,vxlan
udp_tunnel             16384  2 wireguard,vxlan

  2. 集群1 创建并配置wireguard 设备

    root@edge1-1:~# wg genkey > private // 保存私钥
root@edge1-1:~# wg pubkey < private // 得到公钥
root@edge1-1:~# ip link add wg0 type wireguard // 创建netlink
root@edge1-1:~# wg set wg0 private-key ./private // 给该wg 类型的netlink 设置私钥
root@edge1-1:~# ip link set wg0 up
root@edge1-1:~# wg
interface: wg0
public key: uFEdhmV52i59r/RSjp9x77hRBs+k0f/2er3IFBCvSiM=
  private key: (hidden)
  listening port: 43691

  3. 集群2 创建并配置wireguard 设备

    root@edge2-1:~# wg genkey > private // 保存私钥
root@edge2-1:~# wg pubkey < private // 得到公钥
root@edge2-1:~# ip link add wg0 type wireguard // 创建netlink
root@edge2-1:~# wg set wg0 private-key ./private // 给该wg 类型的netlink 设置私钥
root@edge2-1:~# ip link set wg0 up
root@edge2-1:~# wg
interface: wg0
public key: hwc/LdW2oWUm3Z4uXPObQN6llXNpQOevhn9j3VhBMEg=
  private key: (hidden)
  listening port: 60242

  4. 集群1 配置wireguard 的peer

    root@edge1-1:~# wg set wg0 peer hwc/LdW2oWUm3Z4uXPObQN6llXNpQOevhn9j3VhBMEg= allowed-ips 172.22.0.0/16 endpoint 192.169.33.18:60242 persistent-keepalive 25

  5. 集群2 配置wireguard 的peer

    root@edge2-1:~# wg set wg0 peer uFEdhmV52i59r/RSjp9x77hRBs+k0f/2er3IFBCvSiM= allowed-ips 172.19.0.0/16 endpoint 192.169.33.17:43691 persistent-keepalive 25

  6. 效果
    cluster1

    root@edge1-1:~# wg
interface: wg0
  public key: uFEdhmV52i59r/RSjp9x77hRBs+k0f/2er3IFBCvSiM=
  private key: (hidden)
  listening port: 43691
  
peer: hwc/LdW2oWUm3Z4uXPObQN6llXNpQOevhn9j3VhBMEg=
  endpoint: 192.169.33.18:60242
  allowed ips: 172.22.0.0/16
  latest handshake: 9 seconds ago
  transfer: 128.96 KiB received, 570.25 KiB sent
  persistent keepalive: every 25 seconds

    cluster2

    root@edge2-1:~# wg
interface: wg0
  public key: hwc/LdW2oWUm3Z4uXPObQN6llXNpQOevhn9j3VhBMEg=
  private key: (hidden)
  listening port: 60242

peer: uFEdhmV52i59r/RSjp9x77hRBs+k0f/2er3IFBCvSiM=
  endpoint: 192.169.33.17:43691
  allowed ips: 172.19.0.0/16, 10.128.0.0/12
  latest handshake: 1 minute, 34 seconds ago
  transfer: 464.51 KiB received, 128.99 KiB sent
  persistent keepalive: every 25 seconds

  7. 手工设置路由:
    目前仅仅是隧道打通,但是从Pod发出的流量,尚不能route 到 wg0 设备。因此我们配置一个策略路由:

     root@edge1-1:~# ip rule add from all table 100
 root@edge1-1:~# ip route add 172.22.0.0/16 dev wg0 table 100

    另一个集群cluster2:

     root@edge2-1:~# ip rule add from all table 100
 root@edge2-1:~# ip route add 172.19.0.0/16 dev wg0 table 100

  8. 进入容器里,去ping 下试试
    很遗憾不行,原因是,容器网络的一条iptables 规则:
    -A POSTROUTING ! -s 172.22.0.0/16 -d 172.22.0.0/24 -m comment --comment "flanneld masq" -j RETURN 因此,我们还需要在这条规则前,新增Accept。

    root@edge1-1:~# iptables -t nat -I POSTROUTING -s 172.19.0.0/16 -d 172.22.0.0/16 -j ACCEPT
root@edge1-1:~# iptables -t nat -I POSTROUTING -s 172.22.0.0/16 -d 172.19.0.0/16 -j ACCEPT

    root@edge2-1:~# iptables -t nat -I POSTROUTING -s 172.22.0.0/16 -d 172.19.0.0/16 -j ACCEPT
root@edge1-1:~#  iptables -t nat -I POSTROUTING -s 172.19.0.0/16 -d 172.22.0.0/16 -j ACCEPT

    然后就可以去容器里,ping通了。

xialingming
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-wireguardctrl-可以在多个平台上控制WireGuard设备
08-14
wireguardctrl - 可以在多个平台上控制WireGuard设备
Ubuntu安装wireguard服务端,windows连接
最新发布
分享一点有用的知识
02-20 768
需求:想要随时随地远程到ubuntu电脑的内网中,ping通所有的内网ip,方便通过内网ip进行远程 一、ubuntu上安装配置wireguard服务 1,更新软件包并安装wireguard服务端软件 sudo apt update sudo apt install wireguard 2,生成服务端的公钥和私钥 wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publ
不好,WireGuard 与 Kubernetes CNI 摩擦生火了。。
云原生实验室
03-02 1246
写了这么多篇 WireGuard 相关的保姆教程,今天终于牵扯到 Kubernetes 了,不然怎么对得起“云原生”这三个字。如果看到这篇文章的你仍然是个 WireGuard 新手,请务必...
使用 K3s 和 WireGuard 网络快速部署一个多云环境的 Kubernetes 集群
easylife206的专栏
01-25 1964
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !每日言论SQLite 的应用太广泛,测试量也很惊人。每个版本发布之前,都要进行各种单元测试、参数测试、模糊...
x5内核有什么优点_什么是 WireGuard?为什么 Linux 用户为它疯狂? | Linux 中国
weixin_39918588的博客
12-04 333
从普通的 Linux 用户到 Linux 创建者 Linus Torvalds,每个人都对 WireGuard 很感兴趣。-- Abhishek Prakash从普通的 Linux 用户到 Linux 创建者Linus Torvalds,每个人都对 WireGuard 很感兴趣。什么是 WireGuard,它为何如此特别?什么是 WireGuard?WireGuard是一个易于配置、...
【翻译】利用KubernetesWireGuard和Rook实现跨数据中心的冗余
超级码力
11-20 293
作者:Cristian Klein2021年9月16日 客串文章,最初发表在Elastisys的博客上,作者是Elastisys的高级云架构师Cristian Klein 一些 法院的裁决和欧洲数据保护委员会(EDPB)的指南明确指出:在美国拥有的云上处理欧盟的个人数据是一个巨大的法律风险。因此,许多Kubernetes运营商正争先恐后地将他们的环境移植到欧盟的云供应商或其内部的数据中心。...
这个插件竟打通了Python和Excel,还能自动生成代码!_这个插件竟打通了Python和Excel
09-21
这个插件竟打通了Python和Excel,还能自动生成代码!这个插件竟打通了Python和Excel,还能自动生成代码!
6个境界,从产品到人性,你打通了几个?
02-26
2013年上半年,我们看到了另外一个机会,我们管它叫“智能互联时代”。“智能互联时代”有三个关键词:智能,云端,互联。我们希望有一天我们可以达到一个境界,就是利用小米手机可以连接一切。所以我们开始通过投资...
通过Kubernetes容器实现DevOps
02-24
近两年,随着容器Kubernetes等技术的兴起,DevOps这个概念被广泛提及并被大量使用。本文将会从以下几个方面着手,结合实验展现的方式,让读者真正理解DevOps的含义。DevOps产生的背景DevOps与容器Kubernetes之间...
云原生应用Kubernetes监控与弹性实践
02-24
云原生应用的设计理念已经...云服务集成阿里云容器服务Kubernetes目前已经和四款监控云服务进行了打通,分别是SLS(日志服务)、ARMS(应用性能监控)、AHAS(架构感知监控服务)、CloudMonitor(云监控)。SLS主要负责
ware+ wireguard 分流
jhs的博客
08-05 842
ip分流查询ware客户端ware+key获取wireguard下载auto-add-routes
如何获取k8s拓扑_K8S集群安装部署 之 网络拓扑图
weixin_36193839的博客
02-05 418
二、Proxy主机(master&standby)1. 主机分别为:10.3.153.211(test-master)与10.3.153.212(test-standby)2. 安装应用:nginx 、keepalived、etcd3. 应用服务作用:nginx:提供四层与七层的服务代理转发,分别对两台apiserver 6443端口进行转发。keepalived:保证两台Proxy服务器...
深入分析kubeedge 中的EdgeMesh 通信方式
xialingming的博客
10-14 4917
系列文章目录 我还会有其他深入分析kubeedge 的文章 文章目录系列文章目录前言一、EdgeMesh 的作用二、EdgeMesh 的入口三、EdgeMesh 的启动1. plugin.Install()2. listener.Init()3. proxy.Init()4.listener.Start()5. dns.Start()6. 接收beehive message总结 前言 目前kubeedge 1.4 的版本中,edgecore 使用service 的方式在edge node上进行管理。
深入分析KubeEdge的kubectl logs---cloudstream 和 edgestream 的实现
xialingming的博客
10-23 3398
文章目录前言背景一、总体架构二、edgestream 启动 创建websocket1. 读取本地的证书配置2. 连接cloud 端的 tunnel server三. 监听该 Websocket四. cloud的tunnel 保存session五. tunnel 监听上一步接收的wss connection六. 创建stream server 时引用了tunnel 指针七. API Server 发起`/containerLogs`八. 从api server 的请求中提取 session并往session
Crossplane 详解1——基础设施即代码
xialingming的博客
09-16 2811
目录假设一个场景解决Crossplane详解平台开发者需要做什么 假设一个场景 贵司的开发团队的开发者A,需要在代码里使用AWS的S3服务,如果没有Crossplane 的话。他需要: 自己注册一个AWS账户,或者拿到贵司的AWS账户 去AWS上,买一个S3服务,自己填一大堆的配置。 把这个S3的服务的配置放在一个secret 里,并挂载到了pod里。 过了几天,贵司的另外一个开发团队开发者B,需要在代码里使用AWS的MySQL服务,他需要走完上一个同学一样的历程。 又过了几天,贵司的运维同学C,想要一
Kubernetes 联邦集群 kubefed v2的使用
xialingming的博客
10-21 2713
1. 描述 跨群集同步资源: 通过将多个集群组成一个联邦,可以在多个群集中的保持资源同步。 例如,可以确保多个群集中部署相同的程序。 跨群集发现:联邦提供了自动配置DNS服务器和负载均衡器与所有群集后端的功能。 2. 概念统一 概念 描述 联邦 一组Kubernetes集群,提供一个集群组成一个大资源的池子的接口,该接口可用于在这些集群之间部署Kubernetes应用程序。 联...
virtual kubelet 调研
xialingming的博客
08-24 1202
1. 背景: Virtual Kubelet 是什么? Virtual Kubelet 是 Kubernetes kubelet 的一种实现,它伪装成 kubelet,目的是将 Kubernetes 集群连接到其他 API,这些API的入口被成为Provider。 这就使得 Kubernetes 的Node能够得到其他CaaS平台的支持,例如无服务器容器平台。 Virtual Kubelet 不是什么? 不是用来实现集群联邦的手段。它是用来扩展Node 属性到一个容器平台上。 2. Virtua
手工体验docker 是怎么管理网络的-docker 直接使用CNI插件(2)
xialingming的博客
09-28 1184
1. CNI 简介 不管是 docker 还是 kubernetes,不管是在现在还是在未来,在网络方面都不会一个完美的、终极的、普适性的解决方案,不同的用户和企业因为各种原因会使用不同的网络方案。目前存在网络方案 flannel、calico、openvswitch、weave、ipvlan 还有我司的kube-ovn等,而且以后一定会有其他的网络方案,这些方案接口和使用方法都不相同,而不同的容器平台都需要网络功能,它们之间的适配如果没有统一的标准,会有很大的工作量和重复劳动。 我们不可能为了一个新的网络
怎么打通两个docker overlay 网段
05-27
打通两个 Docker Overlay 网段,可以使用 Docker Swarm 中的服务发现功能。具体而言,可以创建一个跨越两个 Overlay 网段的服务,并在该服务中指定网络别名(network alias)。这样,可以通过使用该网络别名来访问该服务,从而实现跨越两个 Overlay 网段的通信。 具体步骤如下: 1. 在两个 Overlay 网段中分别创建一个网络(例如,net1 和 net2)。 2. 创建一个 Docker Swarm 服务,并将其分配到两个 Overlay 网络中(例如,net1 和 net2)。可以使用以下命令创建服务: ``` docker service create --name myservice --network net1 --network net2 myimage ``` 3. 在服务中指定网络别名(例如,myalias)。可以使用以下命令为服务指定网络别名: ``` docker service update --network-add myalias myservice ``` 4. 现在,可以通过使用该网络别名来访问该服务。例如,如果在 net1 网段中有一个容器想要访问该服务,可以使用以下命令: ``` curl http://myalias:port ``` 其中,`port` 表示服务的端口号。 需要注意的是,为了使两个 Overlay 网段能够相互访问,必须确保它们之间存在路由。可以通过使用 Docker Swarm 中的网络插件来配置路由。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值