赞
踩
external-access-to-clusterip-services
cilium helm配置里面有一个bpf.lbExternalClusterIP的选项,官网里面只是简单提了
As per k8s Service, Cilium’s eBPF kube-proxy replacement by default disallows access to a ClusterIP service from outside the cluster. This can be allowed by setting bpf.lbExternalClusterIP=true
字面意思就是,cilium ebpf kube-proxy替换也是遵循kubernetes service的默认准则,禁止从集群外访问clusterip服务。于是cilium提供了一个选项可以让集群外访问到。
最开始我一直搞不懂这个集群外可以访问到底是什么意思,后来我尝试集群外添加一条路由,并且设置bpf.lbExternalClusterIP=true
,看下集群外的主机是否能够通过转发到集群内的主机来访问到这个clusterip
答案是可以的!
添加路由并且设置了bpf.lbExternalClusterIP=true
是可以让集群外的主机访问到clusterip
而设置bpf.lbExternalClusterIP=false
的时候即便有路由能到达集群内也会提示无法连接了。
对于测试环境与开发环境这种安全性要求不高的环境,可以尝试开启bpf.lbExternalClusterIP=true
配合kubernetes内的coredns,对kubernetes环境调试能更加方便
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。