AI 助理
备案控制台
开发者社区 云原生 文章 正文

【云原生Kubernetes】K8S集群+负载均衡层+防火墙 实例(下)

2022-11-15 518
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
公网NAT网关,每月750个小时 15CU
应用型负载均衡 ALB,每月750个小时 15LCU
简介: 实验拓扑:

三、创建service资源

编写service对应的yaml文件,使用NodePort类型和TCP 30000端口将Nginx服务发布出去。

#1、编写service对应的yaml文件
 vim myservice.yaml
 apiVersion: v1
 kind: Service
 metadata: 
    name: yuji-nginx-svc
    namespace: default   
 spec:
   type: NodePort        #service类型设置为NodePort
   ports: 
   - port: 80            #service使用的端口号,ClusterIP后面跟的端口号。
     targetPort: 80      #需要转发到的后端Pod的端口号
     nodePort: 30000     #指定映射到物理机的端口号,k8s集群外部可以使用nodeIP:nodePort访问service
   selector:             
     app: yuji-nginx     #标签选择器要和上一步创建的pod的标签保持一致
 #创建service资源    
 kubectl apply -f myservice.yaml
 #2、查看service资源
 kubectl get svc
 NAME             TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)        AGE
 kubernetes       ClusterIP   10.96.0.1       <none>        443/TCP        27h
 yuji-nginx-svc   NodePort    10.96.100.164   <none>        80:30000/TCP   76s
 #查看service资源的详细信息
 kubectl describe svc yuji-nginx-svc  
 Name:                     yuji-nginx-svc
 Namespace:                default
 Labels:                   <none>
 Annotations:              <none>
 Selector:                 app=yuji-nginx
 Type:                     NodePort
 IP Families:              <none>
 IP:                       10.96.100.164
 IPs:                      10.96.100.164
 Port:                     <unset>  80/TCP
 TargetPort:               80/TCP
 NodePort:                 <unset>  30000/TCP
 Endpoints:                10.244.1.2:80,10.244.2.4:80    #service资源管理的2个pod
 Session Affinity:         None
 External Traffic Policy:  Cluster
 Events:                   <none>
 #3、测试使用nodeIP:nodePort访问nginx网页
 curl 192.168.10.20:30000   #node01
 curl 192.168.10.30:30000   #node02
复制代码


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


四、搭建负载均衡层

负载均衡区域配置Keepalived+Nginx,实现负载均衡高可用,通过VIP 192.168.10.100和自定义的端口号即可访问K8S发布出来的服务。

  • lb01:192.168.10.40
  • lb02:192.168.10.50
  • VIP:192.168.10.100
#---------1、两台负载均衡器配置nginx--------------
 #关闭防火墙和selinux
 systemctl stop firewalld
 systemctl disable firewalld
 setenforce 0
 sed -i 's/enforcing/disabled/' /etc/selinux/config
 #设置主机名
 hostnamectl set-hostname lb01
 su
 hostnamectl set-hostname lb02
 su
 #配置nginx的官方在线yum源
 cat > /etc/yum.repos.d/nginx.repo << 'EOF'
 [nginx]
 name=nginx repo
 baseurl=http://nginx.org/packages/centos/7/$basearch/
 gpgcheck=0
 EOF
 yum install nginx -y
 #修改nginx配置文件,配置四层反向代理负载均衡,指定k8s群集2台node的节点ip和30000端口
 vim /etc/nginx/nginx.conf
 events {
     worker_connections  1024;
 }
 #在http块上方,添加stream块
 stream {
     upstream k8s-nodes {
         server 192.168.10.20:30000;    #node01IP:nodePort
         server 192.168.10.30:30000;    #node02IP:nodePort
     }
     server {
         listen 3344;                  #自定义监听端口
         proxy_pass k8s-nodes;
     }
 }
 http {
 ......
     #include /etc/nginx/conf.d/*.conf;    #建议将这一行注释掉,否则会同时加载/etc/nginx/conf.d/default.conf文件中的内容,nginx会同时监听80端口。
 }
 #检查配置文件语法是否正确
 nginx -t   
 #启动nginx服务,查看到已监听3344端口
 systemctl start nginx
 systemctl enable nginx
 netstat -natp | grep nginx 
 tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN             48395/nginx: master
 tcp        0      0 0.0.0.0:3344            0.0.0.0:*               LISTEN             48395/nginx: master
 #------------2、两台负载均衡器配置keepalived--------
 #安装keepalived服务
 yum install keepalived -y
 #修改keepalived配置文件
 vim /etc/keepalived/keepalived.conf
 ! Configuration File for keepalived
 global_defs {
    # 接收邮件地址
    notification_email {
      acassen@firewall.loc
      failover@firewall.loc
      sysadmin@firewall.loc
    }
    # 邮件发送地址
    notification_email_from Alexandre.Cassen@firewall.loc
    smtp_server 127.0.0.1    #修改为本机回环地址
    smtp_connect_timeout 30
    router_id LB01   #lb01节点的为LB01,lb02节点的为LB02
 }
 #添加一个周期性执行的脚本
 vrrp_script check_nginx {
     script "/etc/nginx/check_nginx.sh"  #指定检查nginx存活的脚本路径
 }
 vrrp_instance VI_1 {
     state MASTER            #lb01节点的为 MASTER,lb02节点的为 BACKUP
     interface ens33         #指定网卡名称 ens33
     virtual_router_id 51    #指定组ID,两个节点要一致
     priority 100            #设置优先级,lb01节点设置为 100,lb02节点设置为 90
     advert_int 1
     authentication {
         auth_type PASS
         auth_pass 1111
     }
     virtual_ipaddress {
         192.168.10.100      #指定VIP地址
     }
     track_script {          #追踪脚本
         check_nginx         #指定vrrp_script配置的脚本
     }
 }
 #将配置文件中剩余的内容全都删除
 #主调度器lb01创建nginx状态检查脚本 
 vim /etc/nginx/check_nginx.sh
 #!/bin/bash
 #egrep -cv "grep|$$" 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
 count=$(ps -ef | grep nginx | egrep -cv "grep|$$")
 if [ "$count" -eq 0 ];then
     systemctl stop keepalived
 fi
 chmod +x /etc/nginx/check_nginx.sh  #为脚本增加执行权限
 #启动keepalived服务(一定要先启动了nginx服务,再启动keepalived服务,否则keepalived检测到nginx没有启动,会杀死自己)
 systemctl start keepalived
 systemctl enable keepalived
 ip addr             #查看主节点的VIP是否生成
 #测试使用VIP:3344访问web网页
 curl 192.168.10.100:3344
 #----------3、关闭主调度器的nginx服务,模拟故障,测试keepalived-------
 #关闭主调度器lb01的Nginx服务,模拟宕机,观察VIP是否漂移到备节点
 systemctl stop nginx
 ip addr
 systemctl status keepalived   #此时keepalived被脚本杀掉了   
 #备节点查看是否生成了VIP
 ip addr    #此时VIP漂移到备节点lb02
 #恢复主节点
 systemctl start nginx         #先启动nginx
 systemctl start keepalived    #再启动keepalived
 ip addr
复制代码


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|


五、配置防火墙服务器

iptables防火墙服务器,设置双网卡,并且配置SNAT和DNAT转换实现外网客户端可以通过12.0.0.1访问内网的Web服务。

  • 内网网卡ens33:192.168.10.1
  • 外网网卡ens36:12.0.0.1
##两台负载均衡器,将网关地址修改为防火墙服务器的内网IP地址
 vim /etc/sysconfig/network-scripts/ifcfg-ens33
 GATEWAY="192.168.10.1"
 systemctl restart network   #重启网络
 systemctl restart keepalived   #如果VIP丢失,需要重启一下keepalived
 ##配置防火墙服务器
 #-------------1、关闭防火墙和selinux-------------
 systemctl stop firewalld
 systemctl disable firewalld
 setenforce 0
 sed -i 's/enforcing/disabled/' /etc/selinux/config
 #------------2、开启路由转发功能----------------
 vim /etc/sysctl.conf
 net.ipv4.ip_forward = 1     //在文件中增加这一行,开启路由转发功能
 sysctl -p    //加载修改后的配置
 #------------3、配置iptables策略---------------
 #先将原有的规则清除
 iptables -F && iptables -t nat -F && iptables -t mangle -F && iptables -X
 #设置SNAT服务,解析源地址。修改nat表中的POSTROUTING链。
 #将源地址192.168.10.100转换为为12.0.0.1
 iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens36 -j SNAT --to 12.0.0.1
  #-t nat                  //指定nat表
  #-A POSTROUTING          //在POSTROUTING链中添加规则  
  #-s 192.168.10.100/24    //数据包的源地址
  #-o ens36                //出站网卡
  #-j SNAT --to 12.0.0.1   //使用SNAT服务,将源地址转换成公网IP地址。
 #设置DNAT服务,解析目的地址。修改nat表中的PRETROUTING链。
 #将目的地址12.0.0.1:3344 转换成 192.168.10.100:3344
 iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.1 -p tcp --dport 3344 -j DNAT --to 192.168.10.100:3344
  #-A PREROUTING         //在PREROUTING链中添加规则        
  #-i ens36              //入站网卡
  #-d 12.0.0.254         //数据包的目的地址
  #-p tcp --dport 3344   //数据包的目的端口
  #-j DNAT --to 192.168.10.100:3344   //使用DNAT功能,将目的地址和端口转换成192.168.10.100:3344
 iptables -t nat -nL   #查看策略
 Chain PREROUTING (policy ACCEPT)
 target     prot opt source               destination
 DNAT       tcp  --  0.0.0.0/0            12.0.0.1             tcp dpt:3344 to:192.168.10.100:3344
 Chain INPUT (policy ACCEPT)
 target     prot opt source               destination
 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination
 Chain POSTROUTING (policy ACCEPT)
 target     prot opt source               destination
 SNAT       all  --  192.168.10.0/24      0.0.0.0/0            to:12.0.0.1
 ##客户端修改网关配置文件,测试访问内网的Web服务
 客户端IP地址:12.0.0.12,将网关地址设置为防火墙服务器的外网网卡地址:12.0.0.1
 浏览器输入 http://12.0.0.1:3344 进行访问
复制代码


两台负载均衡器,将网关地址修改为防火墙服务器的内网IP地址,之后需要重启网络:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


配置防火墙服务器:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


客户端修改网关地址,测试访问内网的Web服务:

网络异常,图片无法展示
|


网络异常,图片无法展示
|


网络异常,图片无法展示
|

文章标签:
云防火墙
容器服务Kubernetes版
NAT网关
负载均衡
容器
Cloud Native
应用服务中间件
负载均衡
网络安全
网络协议
Kubernetes
nginx
关键词:
云原生kubernetes
容器服务Kubernetes版云原生
负载均衡实例
容器服务Kubernetes版集群
云原生k8s
iomafilfjtgvs
目录
相关文章
shuj
|
14天前
|
Kubernetes Cloud Native Docker
云原生时代的容器化实践:Docker和Kubernetes入门
【10月更文挑战第37天】在数字化转型的浪潮中,云原生技术成为企业提升敏捷性和效率的关键。本篇文章将引导读者了解如何利用Docker进行容器化打包及部署,以及Kubernetes集群管理的基础操作,帮助初学者快速入门云原生的世界。通过实际案例分析,我们将深入探讨这些技术在现代IT架构中的应用与影响。
shuj
56 2
游客moiomvrp3vyac2
|
10天前
|
Kubernetes Cloud Native 开发者
云原生入门:Kubernetes的简易指南
【10月更文挑战第41天】本文将带你进入云原生的世界,特别是Kubernetes——一个强大的容器编排平台。我们将一起探索它的基本概念和操作,让你能够轻松管理和部署应用。无论你是新手还是有经验的开发者,这篇文章都能让你对Kubernetes有更深入的理解。
游客moiomvrp3vyac2
29 11
mrq4nk6ni2neg
|
14天前
|
Kubernetes 监控 负载均衡
深入云原生:Kubernetes 集群部署与管理实践
【10月更文挑战第37天】在数字化转型的浪潮中,云原生技术以其弹性、可扩展性成为企业IT架构的首选。本文将引导你了解如何部署和管理一个Kubernetes集群,包括环境准备、安装步骤和日常维护技巧。我们将通过实际代码示例,探索云原生世界的秘密,并分享如何高效运用这一技术以适应快速变化的业务需求。
mrq4nk6ni2neg
47 1
叫个什么名字
|
18天前
|
运维 Kubernetes Cloud Native
Kubernetes云原生架构深度解析与实践指南####
本文深入探讨了Kubernetes作为领先的云原生应用编排平台,其设计理念、核心组件及高级特性。通过剖析Kubernetes的工作原理,结合具体案例分析,为读者呈现如何在实际项目中高效部署、管理和扩展容器化应用的策略与技巧。文章还涵盖了服务发现、负载均衡、配置管理、自动化伸缩等关键议题,旨在帮助开发者和运维人员掌握利用Kubernetes构建健壮、可伸缩的云原生生态系统的能力。 ####
叫个什么名字
68 1
mrq4nk6ni2neg
|
19天前
|
存储 运维 Kubernetes
云原生之旅:Kubernetes的弹性与可扩展性探索
【10月更文挑战第32天】在云计算的浪潮中,云原生技术以其独特的魅力成为开发者的新宠。本文将深入探讨Kubernetes如何通过其弹性和可扩展性,助力应用在复杂环境中稳健运行。我们将从基础架构出发,逐步揭示Kubernetes集群管理、服务发现、存储机制及自动扩缩容等核心功能,旨在为读者呈现一个全景式的云原生平台视图。
mrq4nk6ni2neg
27 1
土木林森
|
24天前
|
Kubernetes 负载均衡 Cloud Native
云原生应用:Kubernetes在容器编排中的实践与挑战
【10月更文挑战第27天】Kubernetes(简称K8s)是云原生应用的核心容器编排平台,提供自动化、扩展和管理容器化应用的能力。本文介绍Kubernetes的基本概念、安装配置、核心组件(如Pod和Deployment)、服务发现与负载均衡、网络配置及安全性挑战,帮助读者理解和实践Kubernetes在容器编排中的应用。
土木林森
69 4
游客mldfis24krfue
|
3月前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
游客mldfis24krfue
174 0
尹正杰
|
2月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
尹正杰
230 73
小陈运维
|
11天前
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
小陈运维
31 0
shliang0603
|
3月前
|
Linux 网络安全
linux关闭方防火墙的命令
linux关闭方防火墙的命令
shliang0603
84 2

热门文章

最新文章

  • 1
    从零开始:阿里云上Kubernetes集群的搭建与部署
  • 2
    阿里巴巴NACOS(6)- 在k8s上部署Nacos
  • 3
    Kubernetes上的服务网格 Istio - 分布式追踪篇
  • 4
    Kubernetes Master节点 灾备恢复操作指南
  • 5
    Flink三种集群模式,Standalone模式,Flink On YARN,Flink On K8S,这三种模式有啥优缺点,生产环境如何选择呢?
  • 6
    kubernetes强制删除pod、namespace等资源
  • 7
    基于容器服务 ACK 发行版打造 CNStack 社区版
  • 8
    基于 K8s 的 Ingress 快速部署 hexo 博客
  • 9
    Kubernetes调整Node节点快速驱逐pod的时间
  • 10
    快速解决Kubernetes从k8s.gcr.io仓库拉取镜像失败问题
  • 1
    入侵检测系统(IDS)和入侵防御系统(IPS)有啥区别?
    3422
  • 2
    CentOS 7 防火墙指令
    93
  • 3
    Windows操作系统中:共享文件夹以及防火墙介绍
    346
  • 4
    有状态防火墙和无状态防火墙到底有啥区别?
    188
  • 5
    【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
    1238
  • 6
    自动添加防火墙规则
    56
  • 7
    入侵检测系统:实时监测与防范网络攻击
    331
  • 8
    自动添加防火墙规则,开启某些服务或端口(适用于 RHEL7)
    92
  • 9
    【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
    768
  • 10
    网络守护进化论:传统防火墙与下一代防火墙的深度剖析
    629

    • 相关课程

    更多
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • LVS负载均衡实战
  • 超大流量网站的负载均衡
  • 负载均衡入门与产品使用指南
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • SAE极速部署弹性微服务商城
  • 云原生场景自动化响应ECS系统事件
  • 在ACK Serverless中部署Stable Diffusion应用
  • 云原生HTAP数据库,让你的交易和分析一库搞定
  • 使用ACK-Koordinator部署在离线混部应用
  • 使用CloudLens观测ALB下的网站访问情况

    • 推荐镜像

    更多
  • kubernetes
  • pouch
  • docker-ce
    • 下一篇
    无影云桌面