우선 제목에 언급된'어둠'을 정의해 봅시다.이것은 하나의 집단과 관련될 수 있습니다. 인터넷에 접근할 수 있는 최소한의 권한이 필요하거나, 또한 하나의 가정 Kubernetes 집단일 수도 있습니다. 본고에서 사용한 예는 제 가정 네트워크에 배치된 K3S 집단입니다.ISP에 정적 IP 주소가 없으므로 다른 사용자가 클러스터에 연결하여 공동 작업을 수행하거나 나중에 데이터 관리에 대해 알아볼 수 있기를 바랍니다.

무슨 문제라도 있습니까?

당신은 어떻게 인터넷을 통해 어두운 사이트를 방문합니까?
당신은 어떻게 인터넷을 통해 어두운 쿠베르네트스 집단을 방문합니까?어둠의 배치나 A/B 테스트와 혼동하지 마세요.
정말 완전한 VPN 설정을 원하십니까?
만약 여러 개발자 간에 협력한다면, 당신은 KUBECONFIGS를 어느 곳에서든 공유하고 싶습니까?
제가 이 글을 쓴 관심사와 이유는 Kasten K10 멀티 그룹이 어두운 사이트인 Kubernetes 그룹에 어떻게 접근하여 이 그룹과 데이터에 데이터 관리를 제공합니까?

무엇이 입구입니까?

우선, 나는 해결 방안을 찾았다. 나는 VPN을 실현할 수 있다. 이렇게 하면 사람들이 VPN을 통해 나의 전체 네트워크에 들어갈 수 있고 내가 로컬에서 가지고 있는 K3D 그룹에 들어갈 수 있다. 이것은 너무 복잡한 접근 방식인 것 같다.이것은 필요한 것보다 훨씬 큰 입구다.
한 마디로 하면 입구는'자신관 터널로 무엇이든 연결할 수 있다'
입구의 또 다른 중요한 장점은 개방 방화벽 포트, VPN 설정, IP 범위 관리와 추적 포트 전송 규칙을 대체하는 것이다.
Kubernetes 집단 (6443) 과 Kasten K10 배치 (8080) 에 안전한 공공 노드를 제공하는 서비스를 찾고 있습니다. 이것은 보통 공개적으로 접근할 수 없거나 다른 방식으로 접근할 수 없습니다.
당신은 여기https://inlets.dev/에서 입구에 대한 정보를 더 많이 찾을 수 있습니다. 저도 이 글의 뒤에 아주 좋은 블로그 게시물을 공유할 것입니다. 이 게시물들이 저에게 도움을 주었습니다.

이제 그림을 그려보도록 하겠습니다.

만약 우리가 일부 공공 클라우드 그룹이 있다면, 우리도 일부 개인 그룹이 있는데, 아마도 현지의 노트북에서 실행될 수도 있고, 심지어는 어두운 사이트에서 실행될 수도 있다.예를 들어 CIVO를 사용한 이전 기사에서는 UI와 CLI를 통해 클러스터를 만드는 방법에 대해 설명했습니다. 클러스터가 바로 거기에 있기 때문에 이를 활용하고 싶습니다.로컬 K3D 클러스터가 내 네트워크에서 로컬로 실행되는 것을 보실 수 있습니다.CIVO 집단이 생겨서, Google의 KUBECONFIG 파일은 Google의 공공 IP를 통해 접근할 수 있습니다. 위탁 관리 서비스는 공공 IP가 집단에 들어가는 것을 더욱 간단하게 합니다. Google이 지원하는 인터넷에 있을 때, 이것은 약간 다르지만, 당신은 여전히 요구가 있습니다.

내 로컬 K3D 클러스터
내 네트워크에 없으면 인터넷에서 내 그룹에 접근할 수 없습니다.우선, 모든 협업을 중단했지만, 집단의 상태 작업 부하를 보호하기 위해 Kasten K10을 사용하는 것도 막았다.

이제 이 액세스 권한을 변경하려면

6단계로 시작하고 실행할 수 있습니다.

dev기계에 inletscli를 설치하여 수출 서버를 배치한다https://docs.inlets.dev/#/. 원격 서버는'수출 노드'또는'수출 서버'라고 불린다. 이것은 전용 네트워크 데이터가 발생하는 곳이기 때문이다."사용자의 노트북은""가상 IP""를 획득하여 인터넷의 사용자는 이제 이 IP를 사용하여 연결할 수 있습니다."

Inletsctl을 사용하여 Digital Ocean에 배치된 Inlets Pro 서버 액체 방울(Digital Ocean을 사용하지만 다른 옵션이 있습니다-https://docs.inlets.dev/#/?id=exit-servers)

포털에서 가져온 라이센스 파일입니다.개발, 월별 또는 연간 가입

TCP 포트(6443)를 내보내고 로컬 Kubernetes 군집(localhost)의 상류를 정의했습니다. Kasten K10에 대해 8080을 공개했습니다. 이것은 다중 군집 기능의 입구 서비스에 사용됩니다.

선도-khttps://Inlets-ProServerPublicIPAddress:6443

KUBECONFIG를 업데이트하여 인터넷

에서 웹소켓을 통해 접근

배포 종료 서버

나는 Arkade로 나의 입구를 설치했다. 나는 더 많은 것을 찾을 수 있다. herecli를 보유한 후 첫 번째 단계는 서버를 종료하는 것입니다.Digital Ocean에서 로그아웃 서버로 물방울을 만들었는데 위 링크에서 언급되고 표시된 여러 위치가 될 수 있습니다.다음 명령은 서버를 종료하는 데 사용할 명령입니다.

inletsctl create \
--provider digitalocean \
--access-token-file do-access-token.txt \
--region lon1

포트 및 로컬 정의(다크 네트워크 IP)

이 도구는 Digital Ocean의 inlets pro exit 서버를 구성하기 위해 어떤 명령을 실행해야 하는지에 대한 편리한 팁을 제공합니다.우리는 현재 6443 (Kubernetes API) 과 8080 (Kasten K10 입구) 의 포트를 정의해야 하며, 로컬 네트워크의 IP 주소도 정의해야 한다.

export TCP\_PORTS="6443,8080" - Kubernetes API Server
export UPSTREAM="localhost" - My local network address for ease localhost works.

inlets-pro tcp client --url "wss://209.97.177.194:8123" \
 --token "S8Qdc8j5PxoMZ9GVajqzbDxsCn8maxfAaonKv4DuraUt27koXIgM0bnpnUMwQl6t" \
 --upstream $UPSTREAM \
 --ports $TCP\_PORTS \
 --license "$LICENSE"

그림 설명 - export TCP PORTS = "6443808080"을 되돌려서kasten 계기판을 노출시켜야 합니다

보안 WebSocket 구축

상기 명령을 제출하여 inlets PRO를 설정할 때, 설정이 정확하면 다음과 같은 기능을 가지게 됩니다. 터미널에서 이 기능을 유지하고 출구 서버와 로컬 네트워크 간의 연결을 엽니다.

curl로 접근 권한 확인

Kubernetes API를 사용하고 있기 때문에,curl을 통해 완전한 권한을 부여받는 것을 원하지 않지만, 다음 명령을 통해 외부 연결을 할 수 있음을 보여 줍니다.

curl -k https://178.128.38.160:6443

공용 IP를 사용하여 KubeConfig 업데이트

우리는 이미 로컬 K3D에 배치된 KUBECONFIG를 가지고 있으며, 나의 집단을 만들기 위해 아래 명령을 사용하여 기록하였다.6443 API 포트를 권장하지 않는 경우 일부 임의 포트가 사용되므로 이 단계에서 수행한 모든 작업이 왜곡됩니다.

k3d cluster create darksite --api-port 0.0.0.0:6443

어쨌든,kubeconfig 파일을 업데이트할 때, 같은 호스트에서 로컬 접근에 좋은 내용을 볼 수 있습니다.

서버를 종료하는 일반용 IP를 사용하여 변경

그리고 너는 현지에서 네가 여전히 방문 권한이 있다는 것을 확인할 수 있다

포털 구성 개요

현재 안전한 웹소켓이 설정되어 있으며, 외부에서 숨겨졌거나 어두운 Kubernetes 그룹에 접근할 수 있으며, 아래에서 외관을 볼 수 있습니다.

이 단계에서는 KUBECONFIG 파일을 공유하고 K3D 클러스터에 대한 액세스를 전용 네트워크에서 공유할 수 있습니다.
저는 여기서 이 글을 끝내고 다음 글에서 Kasten K10 멀티 그룹을 어떻게 설정해서 현재 제가 데이터 관리의 측면에서 두 개의 CIVO 그룹과 제 K3D 그룹을 관리할 수 있도록 하고 입구를 사용하여 안전한 웹소켓을 제공할 수 있는지 소개할 것입니다.