使用 SOCKS5 代理访问 Kubernetes API

    本文展示了如何使用 SOCKS5 代理访问远程 Kubernetes 集群的 API。 当你要访问的集群不直接在公共 Internet 上公开其 API 时,这很有用。

    你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

    你的 Kubernetes 服务器版本必须不低于版本 v1.24. 要获知版本信息,请输入 kubectl version.

    你需要 SSH 客户端软件(ssh 工具),并在远程服务器上运行 SSH 服务。 你必须能够登录到远程服务器上的 SSH 服务。

    任务上下文

    说明:

    图 1 表示你将在此任务中实现的目标。

    • 你有一台在后面的步骤中被称为本地计算机的客户端计算机,你将在这台计算机上创建与 Kubernetes API 对话的请求。
    • Kubernetes 服务器/API 托管在远程服务器上。
    • 你将使用 SSH 客户端和服务器软件在本地和远程服务器之间创建安全的 SOCKS5 隧道。 客户端和 Kubernetes API 之间的 HTTPS 流量将流经 SOCKS5 隧道,该隧道本身通过 SSH 进行隧道传输。

    graph LR; subgraph local[本地客户端机器] client([客户端])— 本地
    流量.-> local_ssh[本地 SSH
    SOCKS5 代理]; end ocal_ssh[SSH
    SOCKS5
    代理]— SSH 隧道 —>sshd subgraph remote[远程服务器] sshd[SSH
    服务器]— 本地流量 —>service1; end client([客户端])-. 通过代理传递的
    HTTPS 流量 .->service1[Kubernetes API]; classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000; classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff; classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5; class ingress,service1,service2,pod1,pod2,pod3,pod4 k8s; class client plain; class cluster cluster;

    必须 JavaScript 才能查看此页内容

    图 1. SOCKS5 教程组件

    此命令在你的客户端计算机和远程服务器之间启动一个 SOCKS5 代理。 SOCKS5 代理允许你连接到集群的 API 服务器。

    • -D 1080: 在本地端口 1080 上打开一个 SOCKS 代理。
    • -q: 静音模式。导致大多数警告和诊断消息被抑制。
    • username@kubernetes-remote-server.example:运行 Kubernetes 集群的远程 SSH 服务器。

    客户端配置

    1. export https_proxy=socks5h://localhost:1080

    当你设置 https_proxy 变量时,curl 等工具会通过你配置的代理路由 HTTPS 流量。 为此,该工具必须支持 SOCKS5 代理。

    说明:

    在 URL https://localhost:6443/api 中,localhost 不是指你的本地客户端计算机。 它指的是远程服务器上称为 localhost 的端点。 curl 工具通过 SOCKS 从 HTTPS URL 发送主机名,远程服务器在本地解析(到属于其环回接口的地址)。

    要将 Kubernetes 官方客户端 kubectl 与代理一起使用, 请在 文件中为相关的 cluster 条目设置 proxy-url 元素。例如:

    1. apiVersion: v1
    2. clusters:
    3. - cluster:
    4.     certificate-authority-data: LRMEMMW2 # 简化以便阅读
    5.     # “Kubernetes API”服务器,换言之,kubernetes-remote-server.example 的 IP 地址
    6.     server: https://<API_SERVER_IP_ADRESS>:6443  
    7.     # 上图中的“SSH SOCKS5代理”(内置 DNS 解析)
    8.     proxy-url: socks5://localhost:1080
    9.   name: default
    10. contexts:
    11. - context:
    13.   name: default
    14. current-context: default
    15. kind: Config
    16. preferences: {}
    17. users:
    18. - name: default
    19.   user:
    20.     client-certificate-data: LS0tLS1CR== # 节略,为了便于阅读
    21.     client-key-data: LS0tLS1CRUdJT=      # 节略,为了便于阅读

    如果隧道能够正常工作,并且你调用 kubectl 时使用此集群的上下文, 则可以通过该代理与你的集群交互。例如:

    1. NAMESPACE     NAME                                     READY   STATUS      RESTARTS   AGE
    2. kube-system   coredns-85cb69466-klwq8                  1/1     Running     0          5m46s

    在终端中键入 unset https_proxy 以停止通过代理转发 http 流量。

    进一步阅读