设置 Konnectivity 服务

    你需要有一个 Kubernetes 集群,并且 kubectl 命令可以与集群通信。 建议在至少有两个不充当控制平面主机的节点的集群上运行本教程。 如果你还没有集群,可以使用 minikube 创建一个集群。

    配置 Konnectivity 服务

    接下来的步骤需要出口配置,比如:

    admin/konnectivity/egress-selector-configuration.yaml

    你需要配置 API 服务器来使用 Konnectivity 服务,并将网络流量定向到集群节点:

    1. 创建一个出站流量配置文件,比如 。
    2. 将 API 服务器的 --egress-selector-config-file 参数设置为你的 API 服务器的 离站流量配置文件路径。
    3. 如果你在使用 UDS 连接,须将卷配置添加到 kube-apiserver:

      1. spec:
      2. containers:
      3. volumeMounts:
      4. - name: konnectivity-uds
      5. mountPath: /etc/kubernetes/konnectivity-server
      6. readOnly: false
      7. volumes:
      8. - name: konnectivity-uds
      9. hostPath:
      10. path: /etc/kubernetes/konnectivity-server
      11. type: DirectoryOrCreate

    为 konnectivity-server 生成或者取得证书和 kubeconfig 文件。 例如,你可以使用 OpenSSL 命令行工具,基于存放在某控制面主机上 /etc/kubernetes/pki/ca.crt 文件中的集群 CA 证书来 发放一个 X.509 证书,

    接下来,你需要部署 Konnectivity 服务器和代理。 是一个参考实现。

    在控制面节点上部署 Konnectivity 服务。 下面提供的 konnectivity-server.yaml 配置清单假定在你的集群中 Kubernetes 组件都是部署为静态 Pod 的。 如果不是,你可以将 Konnectivity 服务部署为 DaemonSet。

    1. apiVersion: v1
    2. kind: Pod
    3. metadata:
    4. name: konnectivity-server
    5. namespace: kube-system
    6. spec:
    7. priorityClassName: system-cluster-critical
    8. hostNetwork: true
    9. containers:
    10. - name: konnectivity-server-container
    11. image: us.gcr.io/k8s-artifacts-prod/kas-network-proxy/proxy-server:v0.0.16
    12. command: ["/proxy-server"]
    13. args: [
    14. "--logtostderr=true",
    15. # This needs to be consistent with the value set in egressSelectorConfiguration.
    16. "--uds-name=/etc/kubernetes/konnectivity-server/konnectivity-server.socket",
    17. # The following two lines assume the Konnectivity server is
    18. # deployed on the same machine as the apiserver, and the certs and
    19. # key of the API Server are at the specified location.
    20. "--cluster-cert=/etc/kubernetes/pki/apiserver.crt",
    21. # This needs to be consistent with the value set in egressSelectorConfiguration.
    22. "--server-port=0",
    23. "--agent-port=8132",
    24. "--admin-port=8133",
    25. "--health-port=8134",
    26. "--agent-namespace=kube-system",
    27. "--agent-service-account=konnectivity-agent",
    28. "--kubeconfig=/etc/kubernetes/konnectivity-server.conf",
    29. "--authentication-audience=system:konnectivity-server"
    30. ]
    31. livenessProbe:
    32. httpGet:
    33. scheme: HTTP
    34. host: 127.0.0.1
    35. port: 8134
    36. path: /healthz
    37. initialDelaySeconds: 30
    38. timeoutSeconds: 60
    39. ports:
    40. - name: agentport
    41. containerPort: 8132
    42. hostPort: 8132
    43. - name: adminport
    44. containerPort: 8133
    45. hostPort: 8133
    46. - name: healthport
    47. containerPort: 8134
    48. hostPort: 8134
    49. volumeMounts:
    50. - name: k8s-certs
    51. mountPath: /etc/kubernetes/pki
    52. readOnly: true
    53. - name: kubeconfig
    54. mountPath: /etc/kubernetes/konnectivity-server.conf
    55. readOnly: true
    56. mountPath: /etc/kubernetes/konnectivity-server
    57. volumes:
    58. - name: k8s-certs
    59. hostPath:
    60. path: /etc/kubernetes/pki
    61. - name: kubeconfig
    62. hostPath:
    63. path: /etc/kubernetes/konnectivity-server.conf
    64. type: FileOrCreate
    65. - name: konnectivity-uds
    66. hostPath:
    67. path: /etc/kubernetes/konnectivity-server
    68. type: DirectoryOrCreate

    在你的集群中部署 Konnectivity 代理:

    最后,如果你的集群启用了 RBAC,请创建相关的 RBAC 规则:

    admin/konnectivity/konnectivity-rbac.yaml

    1. apiVersion: rbac.authorization.k8s.io/v1
    2. kind: ClusterRoleBinding
    3. metadata:
    4. name: system:konnectivity-server
    5. labels:
    6. kubernetes.io/cluster-service: "true"
    7. addonmanager.kubernetes.io/mode: Reconcile
    8. roleRef:
    9. apiGroup: rbac.authorization.k8s.io
    10. kind: ClusterRole
    11. name: system:auth-delegator
    12. subjects:
    13. - apiGroup: rbac.authorization.k8s.io
    14. kind: User
    15. name: system:konnectivity-server
    16. ---
    17. apiVersion: v1
    18. kind: ServiceAccount
    19. metadata:
    20. name: konnectivity-agent
    21. namespace: kube-system
    22. labels:
    23. addonmanager.kubernetes.io/mode: Reconcile