首页
/ 使用EasyTier实现K3S集群服务的私有化访问方案

使用EasyTier实现K3S集群服务的私有化访问方案

2025-06-17 04:43:12作者:吴年前Myrtle

背景介绍

在企业级容器化部署中,Kubernetes(K8S)及其轻量级版本K3S已经成为主流选择。然而,如何安全地访问集群内部服务而不将其暴露在公网上,是许多运维人员面临的挑战。本文将详细介绍如何利用EasyTier虚拟网络工具,实现K3S集群服务的私有化访问方案。

技术方案概述

EasyTier是一款轻量级的虚拟网络工具,可以创建跨网络的私有连接。结合K3S集群,我们可以通过以下方式实现安全访问:

  1. 在K3S集群节点上部署EasyTier节点
  2. 配置EasyTier代理K3S的服务子网(Service CIDR)和Pod子网(Pod CIDR)
  3. 外部设备通过加入EasyTier虚拟网络访问集群内部服务

详细配置步骤

1. K3S集群节点配置

在K3S主节点或工作节点上部署EasyTier容器,需要特别注意以下几点:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: easytier
spec:
  template:
    spec:
      containers:
      - name: easytier
        image: easytier-core
        args:
          - "-i"
          - "100.64.0.1"  # 指定虚拟网络IP
          - "-n"
          - "10.43.0.0/16"  # 代理K3S服务子网
          - "-n"
          - "10.42.0.0/16"  # 代理K3S Pod子网
        ports:
        - containerPort: 11010  # EasyTier通信端口

2. 服务暴露配置

通过K3S的Service资源暴露EasyTier服务端口:

apiVersion: v1
kind: Service
metadata:
  name: easytier-service
spec:
  type: NodePort
  ports:
  - protocol: TCP
    port: 11010
    targetPort: 11010
    nodePort: 11010  # 外部访问端口

3. 外部节点接入配置

外部Windows或Linux节点接入EasyTier网络的命令示例:

easytier-core.exe -i 100.64.0.2 -p tcp://<K3S节点IP>:11010 -l 21010

网络路由分析

成功配置后,网络路由将呈现以下特点:

  1. K3S节点路由表

    • 包含虚拟网络路由(100.64.0.0/24)
    • 包含代理的K3S服务子网路由(10.43.0.0/16)
    • 包含K3S Pod子网路由(10.42.0.0/16)
  2. 外部节点路由表

    • 自动添加指向虚拟网络的服务子网路由
    • 所有发往K3S服务的流量通过虚拟网络隧道传输

访问验证与注意事项

验证方法

  1. 服务IP访问

    • 通过浏览器或wget访问服务IP(如https://10.43.x.x)
    • 使用curl测试API端点
  2. 功能限制

    • ICMP协议(ping)可能无法正常工作
    • 服务域名(如service-name.namespace.svc.cluster.local)默认不可解析

高级配置建议

对于需要域名解析的场景,可考虑以下方案:

  1. 在外部节点配置K3S集群的CoreDNS作为上游DNS
  2. 使用独立的DNS服务器并配置相关记录
  3. 通过Hosts文件手动映射常用服务

方案优势与适用场景

主要优势

  1. 安全性:避免将K8S服务直接暴露在公网
  2. 灵活性:支持跨地域、跨网络的私有访问
  3. 稳定性:服务IP在重建后保持不变
  4. 轻量级:对现有K3S集群影响极小

典型应用场景

  1. 开发测试环境的安全访问
  2. 跨地域集群服务的互联
  3. 临时性的生产环境维护访问
  4. 混合云架构中的服务互通

总结

通过EasyTier与K3S的集成,我们实现了一种简单而有效的集群服务私有化访问方案。这种方法特别适合中小规模部署场景,在保证安全性的同时提供了便捷的访问方式。对于更复杂的生产环境,可以考虑结合Ingress或API Gateway等组件进一步完善访问控制策略。

登录后查看全文
热门项目推荐