Oracle Terraform Kubernetes Installer 集群访问指南

前言

Oracle Terraform Kubernetes Installer 是一个基于Terraform的工具，用于在Oracle Cloud Infrastructure (OCI)上快速部署Kubernetes集群。本文将详细介绍如何访问通过该工具创建的Kubernetes集群，包括通过kubectl命令行工具、Kubernetes Dashboard以及SSH方式访问集群节点。

集群访问方式概述

根据集群部署时的网络配置不同，访问Kubernetes集群的方式也有所区别。主要分为以下几种情况：

1. 公共负载均衡器配置：当控制平面配置为公共访问时，可以直接通过互联网访问API Server
2. 私有集群配置：需要通过NAT实例作为跳板机访问
3. SSH访问节点：用于直接管理集群节点

通过kubectl访问集群

公共访问配置

当您选择为Kubernetes Master配置公共负载均衡器时（即control_plane_subnet_access=public或control_plane_subnet_access=private且k8s_master_lb_access=public），可以直接通过kubectl访问集群。

# 配置集群访问权限（注意：0.0.0.0/0对所有IP开放，生产环境应限制为特定IP范围）
$ terraform plan -var master_https_ingress=0.0.0.0/0
$ terraform apply -var master_https_ingress=0.0.0.0/0

# 使用生成的kubeconfig文件
$ export KUBECONFIG=`pwd`/generated/kubeconfig
$ kubectl cluster-info
$ kubectl get nodes

安全建议：在生产环境中，完成必要操作后应立即缩小访问范围：

$ terraform apply -var master_https_ingress=10.0.0.0/16

私有集群配置

对于完全私有的集群配置（control_plane_subnet_access=private且k8s_master_lb_access=private），需要通过NAT实例访问：

# 配置NAT实例SSH访问
$ terraform plan -var public_subnet_ssh_ingress=0.0.0.0/0
$ terraform apply -var public_subnet_ssh_ingress=0.0.0.0/0

# 准备SSH密钥
$ terraform output ssh_private_key > generated/instances_id_rsa
$ chmod 600 generated/instances_id_rsa

# 连接到NAT实例，然后跳转到Master节点
$ scp -i generated/instances_id_rsa generated/instances_id_rsa opc@NAT_INSTANCE_PUBLIC_IP:/home/opc/
$ ssh -i generated/instances_id_rsa opc@NAT_INSTANCE_PUBLIC_IP
nat$ ssh -i /home/opc/instances_id_rsa opc@K8SMASTER_INSTANCE_PRIVATE_IP
master$ kubectl cluster-info

高级技巧：可以设置SSH隧道简化访问流程，避免每次都需要跳转。

通过Kubernetes Dashboard访问集群

如果kubectl可以访问Kubernetes Master负载均衡器，可以通过以下方式启动Dashboard代理：

kubectl proxy &
open http://localhost:8001/ui

SSH访问集群节点

公共子网配置

当控制平面实例部署在公共子网时（control_plane_subnet_access=public），可以直接SSH访问节点：

1. 首先在terraform.tfvars中配置SSH访问规则：

# 警告：0.0.0.0/0对所有IP开放SSH访问，生产环境应谨慎使用
etcd_ssh_ingress = "0.0.0.0/0"
master_ssh_ingress = "0.0.0.0/0"
worker_ssh_ingress = "0.0.0.0/0"

2. 执行SSH访问：

# 准备SSH密钥
$ terraform output ssh_private_key > generated/instances_id_rsa
$ chmod 600 generated/instances_id_rsa

# 访问etcd节点
$ terraform output etcd_public_ips
$ ssh -i `pwd`/generated/instances_id_rsa opc@ETCD_INSTANCE_PUBLIC_IP

# 访问Master节点
$ terraform output master_public_ips
$ ssh -i `pwd`/generated/instances_id_rsa opc@K8SMASTER_INSTANCE_PUBLIC_IP

# 访问Worker节点
$ terraform output worker_public_ips
$ ssh -i `pwd`/generated/instances_id_rsa opc@K8SWORKER_INSTANCE_PUBLIC_IP

私有子网配置

对于私有子网配置，需要通过NAT实例跳转：

# 配置NAT实例SSH访问
$ terraform plan -var public_subnet_ssh_ingress=0.0.0.0/0
$ terraform apply -var public_subnet_ssh_ingress=0.0.0.0/0

# 准备SSH密钥
$ terraform output ssh_private_key > generated/instances_id_rsa
$ chmod 600 generated/instances_id_rsa

# 连接到NAT实例
$ terraform output nat_instance_public_ips
$ scp -i generated/instances_id_rsa generated/instances_id_rsa opc@NAT_INSTANCE_PUBLIC_IP:/home/opc/
$ ssh -i generated/instances_id_rsa opc@NAT_INSTANCE_PUBLIC_IP

# 从NAT实例跳转到目标节点
nat$ ssh -i /home/opc/instances_id_rsa opc@PRIVATE_IP

安全最佳实践

1. 最小权限原则：仅在必要时开放访问权限，并及时关闭
2. IP限制：避免使用0.0.0.0/0，应限制为特定IP范围
3. 密钥管理：妥善保管SSH私钥，设置适当权限
4. 审计日志：记录所有集群访问操作

总结

Oracle Terraform Kubernetes Installer提供了灵活的集群访问方式，可以根据安全需求和网络架构选择合适的访问方法。公共访问配置适合开发和测试环境，提供便捷的访问方式；而私有配置更适合生产环境，通过NAT实例提供额外的安全层。无论选择哪种方式，都应遵循安全最佳实践，确保集群访问的安全可控。