使用 SOCKS5 代理访问 Kubernetes API

特性状态: Kubernetes v1.24 [stable]

此页面展示了如何使用 SOCKS5 代理访问远程 Kubernetes 集群的 API。当你想访问的集群未在公共互联网上直接公开其 API 时,这非常有用。

准备工作

你需要有一个 Kubernetes 集群,并且 kubectl 命令行工具已配置为与你的集群通信。建议你在至少有两个节点且不作为控制平面主机的集群上运行本教程。如果你还没有集群,可以使用 minikube 创建一个,或者使用以下某个 Kubernetes 训练场:

你的 Kubernetes 服务器版本必须是 v1.24 或更高。

要检查版本,请输入 kubectl version

你需要 SSH 客户端软件(`ssh` 工具)以及在远程服务器上运行的 SSH 服务。你必须能够登录远程服务器上的 SSH 服务。

任务背景

图 1 展示了你在此任务中将要实现的目标。

  • 你有一台客户端计算机,在接下来的步骤中称为本地计算机,你将从这台计算机创建请求以与 Kubernetes API 通信。
  • Kubernetes 服务器/API 托管在远程服务器上。
  • 你将使用 SSH 客户端和服务器软件在本地和远程服务器之间创建安全的 SOCKS5 隧道。客户端与 Kubernetes API 之间的 HTTPS 流量将通过 SOCKS5 隧道传输,该隧道本身又通过 SSH 隧道传输。

graph LR; subgraph local[本地客户端机器] client([客户端])-. 本地
流量 .-> local_ssh[本地 SSH
SOCKS5 代理]; end local_ssh[SSH
SOCKS5
代理]-- SSH 隧道 -->sshd subgraph remote[远程服务器] sshd[SSH
服务器]-- 本地流量 -->service1; end client([客户端])-. 经过代理的 HTTPS 流量
通过代理 .->service1[Kubernetes API]; classDef plain fill:#ddd,stroke:#fff,stroke-width:4px,color:#000; classDef k8s fill:#326ce5,stroke:#fff,stroke-width:4px,color:#fff; classDef cluster fill:#fff,stroke:#bbb,stroke-width:2px,color:#326ce5; class ingress,service1,service2,pod1,pod2,pod3,pod4 k8s; class client plain; class cluster cluster;
图 1. SOCKS5 教程组件

使用 ssh 创建 SOCKS5 代理

以下命令在你的客户端机器和远程 SOCKS 服务器之间启动 SOCKS5 代理

# The SSH tunnel continues running in the foreground after you run this
ssh -D 1080 -q -N username@kubernetes-remote-server.example

SOCKS5 代理允许你根据以下配置连接到集群的 API 服务器

  • -D 1080:在本地端口 1080 上打开一个 SOCKS 代理。
  • -q:静默模式。抑制大多数警告和诊断消息。
  • -N:不执行远程命令。仅用于端口转发时很有用。
  • username@kubernetes-remote-server.example:Kubernetes 集群运行的远程 SSH 服务器(例如:堡垒主机)。

客户端配置

要通过代理访问 Kubernetes API 服务器,你必须指示 kubectl 通过我们之前创建的 SOCKS 代理发送查询。可以通过设置相应的环境变量,或通过 kubeconfig 文件中的 proxy-url 属性来完成此操作。使用环境变量:

export HTTPS_PROXY=socks5://:1080

要在特定的 kubectl 上下文中始终使用此设置,请在 ~/.kube/config 文件中相关 cluster 条目内指定 proxy-url 属性。例如:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LRMEMMW2 # shortened for readability 
    server: https://<API_SERVER_IP_ADDRESS>:6443  # the "Kubernetes API" server, in other words the IP address of kubernetes-remote-server.example
    proxy-url: socks5://:1080   # the "SSH SOCKS5 proxy" in the diagram above
  name: default
contexts:
- context:
    cluster: default
    user: default
  name: default
current-context: default
kind: Config
preferences: {}
users:
- name: default
  user:
    client-certificate-data: LS0tLS1CR== # shortened for readability
    client-key-data: LS0tLS1CRUdJT=      # shortened for readability

一旦你通过前面提到的 ssh 命令创建了隧道,并定义了环境变量或 proxy-url 属性,你就可以通过该代理与你的集群进行交互。例如:

kubectl get pods
NAMESPACE     NAME                                     READY   STATUS      RESTARTS   AGE
kube-system   coredns-85cb69466-klwq8                  1/1     Running     0          5m46s

清理

在运行 SSH 端口转发进程的终端中按 CTRL+C 停止它。

在终端中输入 unset https_proxy 以停止通过代理转发 http 流量。

进一步阅读

上次修改时间为 2024 年 2 月 13 日下午 2:14 PST:修复 Mermaid 语法错误 (69706582d4)