笔记。 翻译。:LayerCI 创建者的这篇实用说明很好地说明了 Kubernetes(以及更多)的所谓提示和技巧。 这里提出的解决方案只是少数几个,也许不是最明显的(对于某些情况,评论中已经提到的 K8s 的“原生”解决方案可能是合适的) kubectl port-forward
想象一个典型的情况:您希望本地计算机上的端口能够神奇地将流量转发到 Pod/容器(反之亦然)。
可能的用例
- 检查 HTTP 端点返回的内容
/healthz
生产集群中的 pod。 - 将 TCP 调试器连接到本地计算机上的 pod。
- 从本地数据库工具访问生产数据库,而无需费心进行身份验证(通常 localhost 具有 root 权限)。
- 为临时集群中的数据运行一次性迁移脚本,而无需为其创建容器。
- 将 VNC 会话连接到运行虚拟桌面的 Pod(请参阅 XVFB)。
关于必要工具的几句话
colin@colin-work:~$ tcpserver 127.0.0.1 8080 echo -e 'HTTP/1.0 200 OKrnContent-Length: 19rnrn<body>hello!</body>'&
[1] 17377
colin@colin-work:~$ curl localhost:8080
<body>hello!</body>colin@colin-work:~$
Netcat 则相反。 它允许您连接到一个开放端口并将从该端口接收到的 I/O 传递到 stdin/stdout:
colin@colin-work:~$ nc -C httpstat.us 80
GET /200 HTTP/1.0
Host: httpstat.us
HTTP/1.1 200 OK
Cache-Control: private
Server: Microsoft-IIS/10.0
X-AspNetMvc-Version: 5.1
Access-Control-Allow-Origin: *
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Set-Cookie: ARRAffinity=93fdbab9d364704de8ef77182b4d13811344b7dd1ec45d3a9682bbd6fa154ead;Path=/;HttpOnly;Domain=httpstat.us
Date: Fri, 01 Nov 2019 17:53:04 GMT
Connection: close
Content-Length: 0
^C
colin@colin-work:~$
在上面的示例中,netcat 通过 HTTP 请求页面。 旗帜 -C
使其将 CRLF 附加到行尾。
与 kubectl 连接:在主机上监听并连接到 pod
如果我们将上述工具与 kubectl 结合起来,我们会得到如下命令:
tcpserver 127.0.0.1 8000 kubectl exec -i web-pod nc 127.0.0.1 8080
以此类推,要访问 pod 内的端口 80 就足够了 curl "127.0.0.1:80"
:
colin@colin-work:~$ sanic kubectl exec -it web-54dfb667b6-28n85 bash
root@web-54dfb667b6-28n85:/web# apt-get -y install netcat-openbsd
Reading package lists... Done
Building dependency tree
Reading state information... Done
netcat-openbsd is already the newest version (1.195-2).
0 upgraded, 0 newly installed, 0 to remove and 10 not upgraded.
root@web-54dfb667b6-28n85:/web# exit
colin@colin-work:~$ tcpserver 127.0.0.1 8000 sanic kubectl exec -i web-54dfb667b6-28n85 nc 127.0.0.1 8080&
[1] 3232
colin@colin-work:~$ curl localhost:8000/healthz
{"status":"ok"}colin@colin-work:~$ exit
实用程序交互图
相反方向:在 pod 中监听并连接到主机
nc 127.0.0.1 8000 | kubectl exec -i web-pod tcpserver 127.0.0.1 8080 cat
该命令允许 pod 访问本机的 8000 端口。
bash脚本
我为 Bash 编写了一个特殊脚本,可让您管理 Kubernetes 生产集群
kubetunnel() {
POD="$1"
DESTPORT="$2"
if [ -z "$POD" -o -z "$DESTPORT" ]; then
echo "Usage: kubetunnel [pod name] [destination port]"
return 1
fi
pkill -f 'tcpserver 127.0.0.1 6666'
tcpserver 127.0.0.1 6666 kubectl exec -i "$POD" nc 127.0.0.1 "$DESTPORT"&
echo "Connect to 127.0.0.1:6666 to access $POD:$DESTPORT"
}
如果将此功能添加到 ~/.bashrc
,您可以使用以下命令轻松地在 Pod 中打开隧道 kubetunnel web-pod 8080
并做 curl localhost:6666
.
- 对于隧道中 码头工人 您可以将主线替换为:
tcpserver 127.0.0.1 6666 docker exec -i "$CONTAINER" nc 127.0.0.1 "$DESTPORT"
- 用于隧道 K3s - 将其更改为:
tcpserver 127.0.0.1 6666 k3s kubectl exec …
- 等等
更多想法
- 您可以使用以下命令重定向 UDP 流量
netcat -l -u -c
而不是tcpserver
иnetcat -u
而不是netcat
分别 - 通过管道查看器查看 I/O:
nc 127.0.0.1 8000 | pv --progress | kubectl exec -i web-pod tcpserver 127.0.0.1 8080 cat
- 您可以使用以下命令压缩和解压缩两端的流量
gzip
. - 通过 SSH 连接到另一台具有相应文件的计算机
kubeconfig
:tcpserver ssh workcomputer "kubectl exec -i my-pod nc 127.0.0.1 80"
- 您可以使用以下命令连接不同集群中的两个 Pod
mkfifo
并运行两个单独的命令kubectl
.
Возможностибезграничны!
译者PS
另请阅读我们的博客:
- «
为 Kubernetes 上运行的应用程序开发人员提供的工具 “; - «
Kubernetes 提示和技巧:关于本地开发和网真 “; - «
用于在 Kubernetes Pod 中进行调试的 kubectl-debug 插件 “; - «
使用 Kubernetes 时有用的实用程序 “。
来源: habr.com