K3s中如何将kube-controller-manager和kube-scheduler绑定到外部IP

在K3s集群部署过程中，有时需要将控制平面组件如kube-controller-manager和kube-scheduler的服务端口绑定到特定的外部IP地址上。这种需求常见于监控系统需要直接访问这些组件获取指标数据，或者需要从集群外部访问这些服务的情况。

默认绑定行为

默认情况下，K3s会将kube-controller-manager(10257端口)和kube-scheduler(10259端口)绑定到127.0.0.1本地回环地址。这种设计是出于安全考虑，避免这些关键组件暴露在不必要的网络接口上。

通过ss命令可以观察到默认的绑定情况：

tcp   LISTEN 0      4096          127.0.0.1:10257            0.0.0.0:*
tcp   LISTEN 0      4096          127.0.0.1:10259            0.0.0.0:*

修改绑定地址的方法

要让这些组件监听外部IP地址，需要在K3s的配置文件/etc/rancher/k3s/config.yaml中添加特定的参数：

kube-controller-manager-arg: bind-address=192.168.4.2
kube-scheduler-arg: bind-address=192.168.4.2

其中192.168.4.2应替换为您希望绑定的实际IP地址。修改配置后需要重启K3s服务使更改生效。

验证配置

配置生效后，再次使用ss命令检查端口绑定情况，应该能看到类似如下输出：

tcp   LISTEN 0      4096        192.168.4.2:10259      0.0.0.0:*
tcp   LISTEN 0      4096        192.168.4.2:10257      0.0.0.0:*

这表明kube-controller-manager和kube-scheduler现在已经在指定的外部IP地址上监听连接。

安全注意事项

将控制平面组件暴露在外部网络会带来一定的安全风险，建议采取以下措施：

1. 确保这些端口只在内网环境中暴露，不要直接暴露在公网
2. 配置网络安全策略，限制可以访问这些端口的IP范围
3. 考虑使用K3s内置的TLS证书认证机制来保护这些端口的访问
4. 定期审计对这些端口的访问日志

其他相关配置

除了绑定地址外，K3s还允许通过类似的参数格式调整控制平面组件的其他配置。例如：

kube-controller-manager-arg: 
  - bind-address=192.168.4.2
  - leader-elect=true
kube-scheduler-arg:
  - bind-address=192.168.4.2
  - v=2

这种灵活的配置方式使得管理员可以根据实际需求调整K3s集群的行为。

通过以上方法，您可以轻松地将K3s的控制平面组件绑定到特定的网络接口，满足监控或其他特殊需求，同时保持对集群配置的完全控制。