Как да отворите тунел в Kubernetes pod или контейнер с tcpserver и netcat

Забележка. превод: Тази практическа бележка от създателя на LayerCI е отлична илюстрация на така наречените съвети и трикове за Kubernetes (и други). Решението, предложено тук, е само едно от малкото и може би не е най-очевидното (за някои случаи може да е подходящо „родното“ за K8, вече споменато в коментарите kubectl port-forward). Въпреки това, той ви позволява поне да погледнете проблема от гледна точка на използването на класически помощни програми и по-нататъшното им комбиниране - в същото време прости, гъвкави и мощни (вижте „други идеи“ в края за вдъхновение).

Представете си типична ситуация: искате порт на вашата локална машина магически да препраща трафик към под/контейнер (или обратното).

Възможни случаи на употреба

1. Проверете какво връща крайната точка на HTTP /healthz pod в производствения клъстер.
2. Свържете TCP дебъгер към pod на локалната машина.
3. Получете достъп до производствената база данни от инструменти за локална база данни, без да се налага да се занимавате с удостоверяване (обикновено localhost има root права).
4. Изпълнете еднократен скрипт за миграция за данни в етапен клъстер, без да се налага да създавате контейнер за него.
5. Свържете VNC сесия към под, работещ с виртуален десктоп (вижте XVFB).

Няколко думи за необходимите инструменти

Tcpserver — Помощна програма с отворен код, налична в повечето хранилища на Linux пакети. Позволява ви да отворите локален порт и да пренасочите трафика, получен чрез stdin/stdout от всяка посочена команда към него:

colin@colin-work:~$ tcpserver 127.0.0.1 8080 echo -e 'HTTP/1.0 200 OKrnContent-Length: 19rnrn<body>hello!</body>'&
[1] 17377
colin@colin-work:~$ curl localhost:8080
<body>hello!</body>colin@colin-work:~$

(asciinema.org)

Netcat прави обратното. Тя ви позволява да се свържете към отворен порт и да прехвърлите I/O, получени от него, към stdin/stdout:

colin@colin-work:~$ nc -C httpstat.us 80
GET /200 HTTP/1.0
Host: httpstat.us
HTTP/1.1 200 OK
Cache-Control: private
Server: Microsoft-IIS/10.0
X-AspNetMvc-Version: 5.1
Access-Control-Allow-Origin: *
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Set-Cookie: ARRAffinity=93fdbab9d364704de8ef77182b4d13811344b7dd1ec45d3a9682bbd6fa154ead;Path=/;HttpOnly;Domain=httpstat.us
Date: Fri, 01 Nov 2019 17:53:04 GMT
Connection: close
Content-Length: 0

^C
colin@colin-work:~$

(asciinema.org)

В горния пример netcat изисква страницата през HTTP. Флаг -C го кара да добави CRLF в края на реда.

Връзка с kubectl: слушайте на хоста и се свържете с pod

Ако комбинираме горните инструменти с kubectl, получаваме команда като тази:

tcpserver 127.0.0.1 8000 kubectl exec -i web-pod nc 127.0.0.1 8080

По аналогия, за достъп до порт 80 вътре в групата ще бъде достатъчно curl "127.0.0.1:80":

colin@colin-work:~$ sanic kubectl exec -it web-54dfb667b6-28n85 bash
root@web-54dfb667b6-28n85:/web# apt-get -y install netcat-openbsd
Reading package lists... Done
Building dependency tree
Reading state information... Done
netcat-openbsd is already the newest version (1.195-2).
0 upgraded, 0 newly installed, 0 to remove and 10 not upgraded.
root@web-54dfb667b6-28n85:/web# exit
colin@colin-work:~$ tcpserver 127.0.0.1 8000 sanic kubectl exec -i web-54dfb667b6-28n85 nc 127.0.0.1 8080&
[1] 3232
colin@colin-work:~$ curl localhost:8000/healthz
{"status":"ok"}colin@colin-work:~$ exit

(asciinema.org)

Диаграма на взаимодействие на полезност

В обратната посока: слушайте в модула и се свържете с хоста

nc 127.0.0.1 8000 | kubectl exec -i web-pod tcpserver 127.0.0.1 8080 cat

Тази команда позволява на модула да има достъп до порт 8000 на локалната машина.

Bash скрипт

Написах специален скрипт за Bash, който ви позволява да управлявате производствен клъстер на Kubernetes LayerCIизползвайки описания по-горе метод:

kubetunnel() {
    POD="$1"
    DESTPORT="$2"
    if [ -z "$POD" -o -z "$DESTPORT" ]; then
        echo "Usage: kubetunnel [pod name] [destination port]"
        return 1
    fi
    pkill -f 'tcpserver 127.0.0.1 6666'
    tcpserver 127.0.0.1 6666 kubectl exec -i "$POD" nc 127.0.0.1 "$DESTPORT"&
    echo "Connect to 127.0.0.1:6666 to access $POD:$DESTPORT"
}

Ако добавите тази функция към ~/.bashrc, можете лесно да отворите тунел в под с командата kubetunnel web-pod 8080 и прави curl localhost:6666.

• За тунела в докер можете да замените основния ред с:

  tcpserver 127.0.0.1 6666 docker exec -i "$CONTAINER" nc 127.0.0.1 "$DESTPORT"

• за тунел в K3s - променете го на:

  tcpserver 127.0.0.1 6666 k3s kubectl exec …

• и т.н.

Други идеи

• Можете да пренасочите UDP трафика с помощта на командите netcat -l -u -c вместо tcpserver и netcat -u вместо netcat съответно.
• Преглед на I/O чрез инструмент за преглед на канали:

  nc 127.0.0.1 8000 | pv --progress | kubectl exec -i web-pod tcpserver 127.0.0.1 8080 cat

• Можете да компресирате и декомпресирате трафика от двата края, като използвате gzip.
• Свържете се чрез SSH към друг компютър със съответния файл kubeconfig:

  tcpserver ssh workcomputer "kubectl exec -i my-pod nc 127.0.0.1 80"

• Можете да свържете две шушулки в различни клъстери, като използвате mkfifo и изпълнете две отделни команди kubectl.

Возможности безграничен!

PS от преводача

Прочетете също в нашия блог:

• «Инструменти за разработчици на приложения, работещи на Kubernetes»;
• «Съвети и трикове на Kubernetes: относно местното развитие и телеприсъствието»;
• «kubectl-debug плъгин за отстраняване на грешки в Kubernetes pods»;
• «Полезни помощни програми при работа с Kubernetes".

Източник: www.habr.com