问题标签 [kubernetes-networking]

我有一个困惑。当我尝试访问外部托管或集群外部的 mysql 等服务时，发送到 mysql 的数据包的源地址是什么。为了简化在mysql中创建用户以供api访问它，我如何创建它？

例如：CREATE USER 'newuser'@'IP or HOSTNAME' IDENTIFIED BY 'user_password';

IP应该是什么？pod IP 还是主机 IP？

如果 pod 在任何节点中生成但它可以针对 mysql 进行身份验证，是否有任何方法可以通过？

谢谢你

我有一个环境，我们有一个裸机服务器（服务器 1），其 NIC 配置为通过 VLAN 5 流量。

CentOS 部署在这台服务器上。现在我有一个 kubernetes pod，运行 DHCP 服务。

现在我在同一个 VLAN 5 上有另一台服务器（服务器 2），它必须从我上面提到的 DHCP 服务获取 IP。

当 DHCP 请求来自服务器 2 时，它将到达服务器 1，因为服务器 1 配置为通过 VLAN 5。

但是如何让这个请求到达我在 CentOS 上运行的 DHCP 服务 pod？我应该如何配置这个 pod 的网络？

我正在构建一个分布式系统，在该系统中，我需要刷新两个服务（服务 A 和服务 B）的所有 pod 的特定配置。此配置由另一个服务-C 处理。用户可以向 service-C 发送 api 请求，该请求需要传播到 service-A 和 service-B 的所有 pod。

1. 服务 A 和服务 B 在 grpc 上工作，不对外公开。
2. 这些服务可以在不同的节点上运行（因此我们不能在这些节点之间共享文件系统）。
3. 配置平均约为 100KB，这样的配置大约有 100K。

可能的想法：

1. 我可以使用 kafka 创建一个消息总线，并将这些配置推送到该总线上，然后由不同的 pod 监听。这种方法的问题是服务 A 和服务 B 将运行 100 个 pod，因此会有大约 100 个消费者组，而且如果一个新的 pod 出现，它必须从一开始就消耗队列，这将非常耗时。

2. 使用像 consul 或 etcd 这样的轻量级瞬态键值存储，因此 Service-C 会将数据推送到 consul 中，然后 Service-A 和 Service-B 可以读取这些数据。这种方法的问题是，这么多的 pod 监听 consul 会导致延迟。

有人可以帮我一些想法，我可以如何在 kubernetes 上实现这一点吗？

谢谢。

我有两个 Kubernetes 部署（DeploymentA 和 DeploymentB），我想知道有没有办法在 DeploymentA 中将来自 DeploymentB 的所有传入流量列入白名单？这样 DeploymentA 只能通过 DeploymentB 访问。

ClusterIP 服务可用于访问部署以在 Kubernetes 中进行内部通信，但如何将来自另一个部署中特定部署（或其 pod）的所有请求列入白名单？例如，有没有办法获取特定部署的 Pod 的所有可能 IP 地址，以便将它们列入白名单？

编辑1：

我有一个对 Internet 开放的 Web 应用程序，但它的特定部分必须只能从特定部署中访问。为了实现这一点，我需要指定 IP 地址或应该具有访问权限的部署的名称。

谢谢！

我正在开发一个项目，我需要启动具有特定 CIDR 范围的特定部署。我有什么办法可以做到这一点？

我需要这些 CIDR 范围用于不同的部署。

例如：

1. 部署 1 - 使用 CIDR 10.10.10.0/24 运行 10 个副本

2. 部署 1 - 使用 CIDR 10.10.11.0/24 运行 10 个副本

我正在尝试访问部署在笔记本电脑上运行的本地 Kubernetes 集群中的 Web api（Docker -> 设置 -> 启用 Kubernetes）。下面是我的 Pod Spec YAML。

kubectl get pods显示 test-api 正在运行。但是，当我尝试使用笔记本电脑上的http://localhost:55555/testapi/index连接到它时，我没有得到响应。但是，我可以使用 URL 从集群内不同 pod 中的容器访问应用程序（我对不同的容器执行了 kubectl exec -it）

http:// test-api pod 集群 IP /testapi/index

. 为什么我不能使用 localhost:hostport URL 访问应用程序？

我正在尝试将命名空间中的 pod 与其他命名空间隔离开来。我试图创建一个 NetworkPolicy：

此 NetworkPolicy 成功地将我的命名空间中的 pod 与另一个命名空间隔离开来。但是，一旦应用此策略，就会禁用到这些 pod 的所有外部流量。是否有任何方法仅阻止来自其他命名空间的流量并允许所有外部流量到 Pod。

以下是ip routeKubernetes 集群（基于 aws）的一个工作节点中的命令输出：

我对 Kubernetes 很陌生，想了解一些与此输出和 Calico 网络相关的事情：

1. 如果 eth0 的 IP 为 10.6.22.111/21，那么 10.6.16.1 是什么样的 IP 地址 - 它是 Internet 网关吗？
2. 另一个工作节点有两个具有相同 IP=10.6.145.224 的 Pod（Pod calico-node-74hde и kube-proxy-internal）——这是如何工作/可能的？
3. 为什么我们需要黑洞路线？

我有一个带有指向它的服务的 DaemonSet。当一个 Pod 访问我的服务的 ClusterIP 时，它会获取本地 Pod 运行在同一节点上还是服务中的任何 Pod？

有什么办法可以做到这一点？我的理解是，这与externaltrafficpolicy: local内部流量相同。

尝试连接到使用 Kong 作为入口控制器的云托管 Kubernetes 服务上运行的 Jupyter Lab 容器（最终也包括其他应用程序）。接收"no Route matched with those values"到对 Kong 的公共 IP 的 http 响应和入口控制器日志表明：

部署配置：

服务配置：

入口资源配置：

已在部署的API Server AddressYAML 中正确填充。在将它们合并到 Kong 的默认命名空间之前，我尝试了不同的命名空间，并且除了容器目标端口之外，还尝试将服务端口设置为 8888。

感谢您在调试时提供的任何帮助。