使用EasyTier实现K3S集群服务的私有化访问方案

背景介绍

在企业级容器化部署中，Kubernetes（K8S）及其轻量级版本K3S已经成为主流选择。然而，如何安全地访问集群内部服务而不将其暴露在公网上，是许多运维人员面临的挑战。本文将详细介绍如何利用EasyTier虚拟网络工具，实现K3S集群服务的私有化访问方案。

技术方案概述

EasyTier是一款轻量级的虚拟网络工具，可以创建跨网络的私有连接。结合K3S集群，我们可以通过以下方式实现安全访问：

1. 在K3S集群节点上部署EasyTier节点
2. 配置EasyTier代理K3S的服务子网（Service CIDR）和Pod子网（Pod CIDR）
3. 外部设备通过加入EasyTier虚拟网络访问集群内部服务

详细配置步骤

1. K3S集群节点配置

在K3S主节点或工作节点上部署EasyTier容器，需要特别注意以下几点：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: easytier
spec:
  template:
    spec:
      containers:
      - name: easytier
        image: easytier-core
        args:
          - "-i"
          - "100.64.0.1"  # 指定虚拟网络IP
          - "-n"
          - "10.43.0.0/16"  # 代理K3S服务子网
          - "-n"
          - "10.42.0.0/16"  # 代理K3S Pod子网
        ports:
        - containerPort: 11010  # EasyTier通信端口

2. 服务暴露配置

通过K3S的Service资源暴露EasyTier服务端口：

apiVersion: v1
kind: Service
metadata:
  name: easytier-service
spec:
  type: NodePort
  ports:
  - protocol: TCP
    port: 11010
    targetPort: 11010
    nodePort: 11010  # 外部访问端口

3. 外部节点接入配置

外部Windows或Linux节点接入EasyTier网络的命令示例：

easytier-core.exe -i 100.64.0.2 -p tcp://<K3S节点IP>:11010 -l 21010

网络路由分析

成功配置后，网络路由将呈现以下特点：

1. K3S节点路由表：

   • 包含虚拟网络路由（100.64.0.0/24）
   • 包含代理的K3S服务子网路由（10.43.0.0/16）
   • 包含K3S Pod子网路由（10.42.0.0/16）

2. 外部节点路由表：

   • 自动添加指向虚拟网络的服务子网路由
   • 所有发往K3S服务的流量通过虚拟网络隧道传输

访问验证与注意事项

验证方法

1. 服务IP访问：

   • 通过浏览器或wget访问服务IP（如https://10.43.x.x）
   • 使用curl测试API端点

2. 功能限制：

   • ICMP协议（ping）可能无法正常工作
   • 服务域名（如service-name.namespace.svc.cluster.local）默认不可解析

高级配置建议

对于需要域名解析的场景，可考虑以下方案：

1. 在外部节点配置K3S集群的CoreDNS作为上游DNS
2. 使用独立的DNS服务器并配置相关记录
3. 通过Hosts文件手动映射常用服务

方案优势与适用场景

主要优势

1. 安全性：避免将K8S服务直接暴露在公网
2. 灵活性：支持跨地域、跨网络的私有访问
3. 稳定性：服务IP在重建后保持不变
4. 轻量级：对现有K3S集群影响极小

典型应用场景

1. 开发测试环境的安全访问
2. 跨地域集群服务的互联
3. 临时性的生产环境维护访问
4. 混合云架构中的服务互通

总结

通过EasyTier与K3S的集成，我们实现了一种简单而有效的集群服务私有化访问方案。这种方法特别适合中小规模部署场景，在保证安全性的同时提供了便捷的访问方式。对于更复杂的生产环境，可以考虑结合Ingress或API Gateway等组件进一步完善访问控制策略。