摘要:如何通過(guò)原理進(jìn)行集群管控就是本文要解決的問(wèn)題�。只是需要在集群內(nèi)部部署一個(gè)持久的針對(duì)該能夠提供服務(wù),其次該內(nèi)部應(yīng)該自帶工具�����。需要查出具體的外網(wǎng)服務(wù)����。配置中的配置和普通的遠(yuǎn)程主機(jī)配置基本一至���,不再贅述了���。
提出一個(gè)問(wèn)題往往比解決一個(gè)更重要����。-- 愛(ài)因斯坦
1. 跳轉(zhuǎn)原理
Jumpserver是個(gè)好東西�����,特別是對(duì)于線上設(shè)備的管控����,基本跳轉(zhuǎn)原理如下圖所示。詳細(xì)的系統(tǒng)設(shè)計(jì)��,可以參考其文檔
http ssh
[user] <---------> [jumpserver] <----------> [remote machine]
然而����,隨著kubernetes的普及,越來(lái)越多的線上服務(wù)采用了kubernetes集群部署�。如何通過(guò)Jumpserver原理進(jìn)行kubernetes集群管控就是本文要解決的問(wèn)題。
2. K8S跳轉(zhuǎn)
kubernetes的管控原理���,和管控遠(yuǎn)程機(jī)器的原理基本類(lèi)似�����。只是需要在集群內(nèi)部部署一個(gè)持久的POD, 針對(duì) Jumpserver 該P(yáng)OD能夠提供 SSHD 服務(wù)�����,其次該P(yáng)OD內(nèi)部應(yīng)該自帶 kubectl 工具�。
2.1 簡(jiǎn)單的網(wǎng)絡(luò)架構(gòu)圖
http ssh /------------------------------------------------
[user] <---------> [jumpserver] <----------> | [kubectl pod] <=> [ kubernetes resource ] |
------------------------------------------------/
2.2 構(gòu)建POD的IMAGE
按以上原理,構(gòu)建中間跳轉(zhuǎn)POD的IMAGE��。具體Dockerfile如下:
FROM sickp/centos-sshd:latest
#安裝kubectl
RUN curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl
RUN chmod +x ./kubectl
RUN mv ./kubectl /usr/local/bin/kubectl
#提供默認(rèn)的ssh key
RUN usermod -p "!" root
ADD id_rsa /root/.ssh/id_rsa
ADD id_rsa.pub /root/.ssh/id_rsa.pub
RUN cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
按此Dockerfile請(qǐng)?zhí)崆皽?zhǔn)備好對(duì)應(yīng)的ssh key���。并將次IMAGE推送的自己的Docker Registry中����。
2.3 在K8S集群中部署
有了中間POD的IMAGE����,部署具體的K8S服務(wù)很簡(jiǎn)單。具體定義文件�,參考以下manifest定義:
apiVersion: apps/v1
kind: StatefulSet
metadata:
name: jump
labels:
app: jump
spec:
serviceName: jump
replicas: 1
selector:
matchLabels:
app: jump
template:
metadata:
labels:
app: jump
spec:
imagePullSecrets:
- name:
serviceAccountName: jump
containers:
- name: jump
image:
ports:
- name: ssh
containerPort: 22
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: jump
imagePullSecrets:
- name:
---
apiVersion: v1
kind: Service
metadata:
name: jump
spec:
type: LoadBalancer
selector:
app: jump
ports:
- name: ssh
port: 22
targetPort: ssh
protocol: TCP
注意替換相應(yīng)的集群參數(shù)配置。從定義文件中可以看出�,中間POD是以LoadBalancer的方式對(duì)外提供服務(wù)的。需要查出具體的外網(wǎng)服務(wù)IP��。
$: kubectl get service | grep jump
jump LoadBalancer [內(nèi)網(wǎng)IP] [外網(wǎng)IP] 22:30525/TCP 75d
該[外網(wǎng)IP]就是JumpServer連接的地址了��。
2.4 配置JumpServer
JumpServer中的配置和普通的遠(yuǎn)程主機(jī)配置基本一至�,不再贅述了。
更多文章可直接訪問(wèn)個(gè)人BLOG:GitDiG.com
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/32997.html
