tcpserver 및 netcat을 사용하여 Kubernetes 포드 또는 컨테이너에서 터널을 여는 방법

메모. 번역: LayerCI 제작자가 작성한 이 실용적인 노트는 소위 Kubernetes(및 그 이상)에 대한 팁과 요령을 훌륭하게 보여줍니다. 여기에 제안된 솔루션은 몇 가지 솔루션 중 하나일 뿐이며 아마도 가장 명확하지는 않습니다(어떤 경우에는 이미 의견에 언급된 K8용 "기본" 솔루션이 적합할 수 있음). kubectl port-forward). 그러나 최소한 고전적인 유틸리티를 사용하고 이를 결합하는 관점에서 문제를 살펴볼 수 있습니다. 동시에 간단하고 유연하며 강력합니다(영감을 얻으려면 마지막에 있는 "다른 아이디어" 참조).

일반적인 상황을 상상해 보십시오. 로컬 시스템의 포트가 마술처럼 트래픽을 포드/컨테이너로(또는 그 반대로) 전달하기를 원합니다.

가능한 사용 사례

1. HTTP 엔드포인트가 반환하는 내용을 확인하세요. /healthz 프로덕션 클러스터의 포드.
2. TCP 디버거를 로컬 머신의 Pod에 연결합니다.
3. 인증을 거치지 않고도 로컬 데이터베이스 도구에서 프로덕션 데이터베이스에 액세스할 수 있습니다. 일반적으로 localhost에는 루트 권한이 있습니다.
4. 컨테이너를 생성할 필요 없이 스테이징 클러스터의 데이터에 대한 일회성 마이그레이션 스크립트를 실행합니다.
5. 가상 데스크톱을 실행하는 포드에 VNC 세션을 연결합니다(XVFB 참조).

필요한 도구에 대한 몇 마디

TCP서버 — 대부분의 Linux 패키지 저장소에서 사용할 수 있는 오픈 소스 유틸리티입니다. 이를 통해 로컬 포트를 열고 지정된 명령에서 stdin/stdout을 통해 수신된 트래픽을 해당 포트로 리디렉션할 수 있습니다.

colin@colin-work:~$ tcpserver 127.0.0.1 8080 echo -e 'HTTP/1.0 200 OKrnContent-Length: 19rnrn<body>hello!</body>'&
[1] 17377
colin@colin-work:~$ curl localhost:8080
<body>hello!</body>colin@colin-work:~$

(asciinema.org)

Netcat은 그 반대입니다. 이를 통해 열린 포트에 연결하고 해당 포트에서 수신된 I/O를 stdin/stdout으로 전달할 수 있습니다.

colin@colin-work:~$ nc -C httpstat.us 80
GET /200 HTTP/1.0
Host: httpstat.us
HTTP/1.1 200 OK
Cache-Control: private
Server: Microsoft-IIS/10.0
X-AspNetMvc-Version: 5.1
Access-Control-Allow-Origin: *
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Set-Cookie: ARRAffinity=93fdbab9d364704de8ef77182b4d13811344b7dd1ec45d3a9682bbd6fa154ead;Path=/;HttpOnly;Domain=httpstat.us
Date: Fri, 01 Nov 2019 17:53:04 GMT
Connection: close
Content-Length: 0

^C
colin@colin-work:~$

(asciinema.org)

위의 예에서 netcat은 HTTP를 통해 페이지를 요청합니다. 깃발 -C 줄 끝에 CRLF를 추가합니다.

kubectl을 통한 연결: 호스트에서 수신 대기하고 Pod에 연결

위 도구를 kubectl과 결합하면 다음과 같은 명령이 생성됩니다.

tcpserver 127.0.0.1 8000 kubectl exec -i web-pod nc 127.0.0.1 8080

비유하자면, 포드 내부의 포트 80에 액세스하는 것만으로도 충분합니다. curl "127.0.0.1:80":

colin@colin-work:~$ sanic kubectl exec -it web-54dfb667b6-28n85 bash
root@web-54dfb667b6-28n85:/web# apt-get -y install netcat-openbsd
Reading package lists... Done
Building dependency tree
Reading state information... Done
netcat-openbsd is already the newest version (1.195-2).
0 upgraded, 0 newly installed, 0 to remove and 10 not upgraded.
root@web-54dfb667b6-28n85:/web# exit
colin@colin-work:~$ tcpserver 127.0.0.1 8000 sanic kubectl exec -i web-54dfb667b6-28n85 nc 127.0.0.1 8080&
[1] 3232
colin@colin-work:~$ curl localhost:8000/healthz
{"status":"ok"}colin@colin-work:~$ exit

(asciinema.org)

유틸리티 상호 작용 다이어그램

반대 방향: 포드에서 수신 대기하고 호스트에 연결

nc 127.0.0.1 8000 | kubectl exec -i web-pod tcpserver 127.0.0.1 8080 cat

이 명령을 사용하면 Pod가 로컬 시스템의 포트 8000에 액세스할 수 있습니다.

배쉬 스크립트

Kubernetes 프로덕션 클러스터를 관리할 수 있는 Bash용 특수 스크립트를 작성했습니다. 레이어CI위에 설명된 방법을 사용하여:

kubetunnel() {
    POD="$1"
    DESTPORT="$2"
    if [ -z "$POD" -o -z "$DESTPORT" ]; then
        echo "Usage: kubetunnel [pod name] [destination port]"
        return 1
    fi
    pkill -f 'tcpserver 127.0.0.1 6666'
    tcpserver 127.0.0.1 6666 kubectl exec -i "$POD" nc 127.0.0.1 "$DESTPORT"&
    echo "Connect to 127.0.0.1:6666 to access $POD:$DESTPORT"
}

이 기능을 추가하면 ~/.bashrc, 다음 명령을 사용하여 포드에서 터널을 쉽게 열 수 있습니다. kubetunnel web-pod 8080 그리고 할 curl localhost:6666.

• 터널의 경우 도커 메인 라인을 다음으로 바꿀 수 있습니다:

  tcpserver 127.0.0.1 6666 docker exec -i "$CONTAINER" nc 127.0.0.1 "$DESTPORT"

• 터널 진입을 위해 K3s - 다음으로 변경:

  tcpserver 127.0.0.1 6666 k3s kubectl exec …

• 기타

다른 아이디어

• 다음 명령을 사용하여 UDP 트래픽을 리디렉션할 수 있습니다. netcat -l -u -c 대신 tcpserver и netcat -u 대신 netcat 각각.
• 파이프 뷰어를 통해 I/O 보기:

  nc 127.0.0.1 8000 | pv --progress | kubectl exec -i web-pod tcpserver 127.0.0.1 8080 cat

• 다음을 사용하여 양쪽 끝에서 트래픽을 압축 및 압축 해제할 수 있습니다. gzip.
• 해당 파일을 사용하여 SSH를 통해 다른 컴퓨터에 연결 kubeconfig:

  tcpserver ssh workcomputer "kubectl exec -i my-pod nc 127.0.0.1 80"

• 다음을 사용하여 서로 다른 클러스터에 있는 두 개의 포드를 연결할 수 있습니다. mkfifo 두 개의 별도 명령을 실행하십시오. kubectl.

가능성은 무한합니다!

번역가의 추신

블로그에서도 읽어보세요.

• «Kubernetes에서 실행되는 애플리케이션 개발자를 위한 도구";
• «Kubernetes 팁 및 요령: 로컬 개발 및 Telepresence 정보";
• «Kubernetes 포드에서 디버깅을 위한 kubectl-debug 플러그인";
• «Kubernetes 작업 시 유용한 유틸리티".

출처 : habr.com