cilium系列之五: 配置外部可达的clusterip服务_cilium 外部网络访问

external-access-to-clusterip-services

cilium helm配置里面有一个bpf.lbExternalClusterIP的选项，官网里面只是简单提了
As per k8s Service, Cilium’s eBPF kube-proxy replacement by default disallows access to a ClusterIP service from outside the cluster. This can be allowed by setting bpf.lbExternalClusterIP=true

字面意思就是，cilium ebpf kube-proxy替换也是遵循kubernetes service的默认准则，禁止从集群外访问clusterip服务。于是cilium提供了一个选项可以让集群外访问到。

最开始我一直搞不懂这个集群外可以访问到底是什么意思，后来我尝试集群外添加一条路由，并且设置bpf.lbExternalClusterIP=true，看下集群外的主机是否能够通过转发到集群内的主机来访问到这个clusterip

答案是可以的！

添加路由并且设置了bpf.lbExternalClusterIP=true是可以让集群外的主机访问到clusterip

而设置bpf.lbExternalClusterIP=false的时候即便有路由能到达集群内也会提示无法连接了。

对于测试环境与开发环境这种安全性要求不高的环境，可以尝试开启bpf.lbExternalClusterIP=true配合kubernetes内的coredns，对kubernetes环境调试能更加方便