K8S LoadBalancer kube-vip 部署

原创 已于 2025-02-19 09:25:46 修改 · 3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes

于 2022-11-30 11:17:17 首次发布
本文介绍了如何在没有云厂商LB服务的情况下,通过kube-vip部署实现集群服务的VIP访问,包括使用DaemonSet的ARP部署方法,以及yaml文件的部署步骤。重点讲解了kube-vip的作用、部署过程和验证安装的方法,适合Kubernetes管理员和运维人员参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kube-vip 端口

  • kube-vip 端口:6443
  • 服务 端口:443,8443

部署须知:

  • 如果没有云厂商LB 服务,且想实现vip 访问,基于k8s LoadBalancer 的方式,可以使用kube-vip 来实现

查看环境是否安装了kube-vip:

在这里插入图片描述

kube-vip部署

kube-vip 介绍

vip 顾名思义 虚拟 IP,从应用场景上来讲,kube-vip 实现的最终结果就是我们常说的 Keepalived 高可用方案。

在这里插入图片描述

部署:

本次部署kube-vip 是通过DaemoneSet 的 ARP 方式来部署。

方式一:通过现有yaml 文件部署

kube-vip-ds.yaml

apiVersion: apps/v1
kind: DaemonSet
metadata:
  creationTimestamp: null
  labels:
    app.kubernetes.io/name: kube-vip-ds
    app.kubernetes.io/version: v0.5.0
  name: kube-vip-ds
  namespace: kube-system
spec:
  selector:
    matchLabels:
      app.kubernetes.io/name: kube-vip-ds
  template:
    metadata:
      creationTimestamp: null
      labels:
        app.kubernetes.io/name: kube-vip-ds
        app.kubernetes.io/version: v0.5.0
    spec:
      affinity:
        nodeAffinity:
          requiredDuringSchedulingIgnoredDuringExecution:
            nodeSelectorTerms:
            - matchExpressions:
              - key: node-role.kubernetes.io/master
                operator: Exists
            - matchExpressions:
              - key: node-role.kubernetes.io/control-plane
                operator: Exists
      containers:
      - args:
        - manager
        env:
        - name: vip_arp
          value: "true"
        - name: port
          value: "6443"
        - name: vip_interface
          value: eth0  # 主机的网卡
        - name: vip_cidr
          value: "32"
        - name: cp_enable
          value: "true"
        - name: cp_namespace
          value: kube-system
        - name: vip_ddns
          value: "false"
        - name: svc_enable
          value: "true"
        - name: vip_leaderelection
          value: "true"
        - name: vip_leaseduration
          value: "5"
        - name: vip_renewdeadline
          value: "3"
        - name: vip_retryperiod
          value: "1"
        - name: prometheus_server
          value: :2112
        - name: address
          value: "10.90.41.20" #设置vip
        image: ghcr.io/kube-vip/kube-vip:v0.5.0
        imagePullPolicy: IfNotPresent
        name: kube-vip
        resources: {}
        securityContext:
          capabilities:
            add:
            - NET_ADMIN
            - NET_RAW
      hostNetwork: true
      serviceAccountName: kube-vip
      tolerations:
      - effect: NoSchedule
        operator: Exists
      - effect: NoExecute
        operator: Exists
  updateStrategy: {}
status:
  currentNumberScheduled: 0
  desiredNumberScheduled: 0
  numberMisscheduled: 0
  numberReady: 0

rbac.yaml

piVersion: v1
kind: ServiceAccount
metadata:
  name: kube-vip
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  name: system:kube-vip-role
rules:
  - apiGroups: [""]
    resources: ["services", "services/status", "nodes", "endpoints"]
    verbs: ["list","get","watch", "update"]
  - apiGroups: ["coordination.k8s.io"]
    resources: ["leases"]
    verbs: ["list", "get", "watch", "update", "create"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: system:kube-vip-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:kube-vip-role
subjects:
- kind: ServiceAccount
  name: kube-vip
  namespace: kube-system

执行命令安装:

kubectl apply -f rbac.yaml
kubectl apply -f kube-vip-ds.yaml

#方式二:通过运行kube-vip命令生成yaml 文件部署

1、创建命令快捷别名:
alias kube-vip="docker run --network host --rm ghcr.io/kube-vip/kube-vip:$KVVERSION"
2、生成yaml清单文件
kube-vip manifest daemonset \
    --interface $INTERFACE \
    --address $VIP \
    --inCluster \
    --taint \
    --controlplane \
    --services \
    --arp \
    --leaderElection | tee kube-vip-ds.yaml
执行命令安装:
kubectl apply -f rbac.yaml  # rbac 文件用预先生成的就可以
kubectl apply -f kube-vip-ds.yaml
查看keub-vip是否安装成功:

在这里插入图片描述
status 为Running 状态即安装成功

修改 服务 service

# 执行以下命令:
kubectl edit svc service-name
# 在spec 中增加 loadBalancerIP:vip

在这里插入图片描述

欢迎扫码关注V信公众号一起交流:一苦四甜

28. 使用 k8e 玩转 kube-vip with Cilium‘s Egress Gateway 特性
Tommy Xiao
10-22 761
在外部提供一台可以访问的 nginx 服务:在 k8s 集群跑个例子:it works查看外面 主机的 nginx 日志:这个 IP 是你的测试容器所在的主机 IP,当我们期望隐藏这个 IP,只允许流量从固定的 IP 访问外部服务。这个时候就需要 Egress Gateway。metadata:spec:egress:配置CiliumEgressNATPolicy对象。it worksNginx 上的日志:在容器里面继续访问sleep 1;done。
搭建高可用k8s集群
菜鸟一枚,对云原生感兴趣
08-13 1521
注意:标题中 没有标记()的都是全部机器执行主机名称操作系统Centos 7Centos 7Centos 7Centos 7Centos 7内核版本IPNginx1.22.01.22.01.22.0————keepalived主从从————虚拟IP————
kube-vip实践
sre救赎之路
03-24 1099
kube-vip 是一款专为 Kubernetes 设计的轻量级高可用(HA)和负载均衡工具,通过虚拟 IP(VIP)机制实现控制平面和服务的高可用性。kube-vip 通过简化高可用集群的部署和管理,成为 Kubernetes 生态中重要的轻量级工具。:利用 ARP 协议在局域网内广播 VIP 的 MAC 地址,通过领导者选举(Leader Election)动态绑定 VIP 到健康节点。:通过 BGP 协议将 VIP 路由信息广播到网络设备(如路由器),实现跨子网的高可用。
kube-vipKubernetes控制平面虚拟IP和负载均衡器
02-04
kube-vip 高可用性和负载平衡 总览 用于控制平面和Kubernetes服务的Kubernetes虚拟IP和负载均衡器 kube-vip背后的想法是一个针对所有环境的小型独立的高度可用选项,尤其是: 裸机 Edge(手臂/ Raspberry PI) 虚拟化 几乎其他任何地方:) 注意现在可以在获得有关用法和体系结构的所有文档。 产品特点 Kube-Vip最初是为Kubernetes控制平面提供HA解决方案而创建的,随着时间的流逝,它已经演变为将相同功能整合到Kubernetes服务类型。 使用ARP(第2层)或BGP(第3层)的控制平面 使用或控制飞机 带kubeadm的控制
通过kube-vip实现K8S集群高可用及Service LB
最新发布
2402_88627342的博客
06-09 1026
下载方法:wget https://github.com/Mirantis/cri-dockerd/releases/download/v0.3.8/cri-dockerd-0.3.8-3.el7.x86_64.rpm。下载方法:wget https://github.com/coreos/etcd/releases/download/v3.5.0/etcd-v3.5.0-linux-amd64.tar.gz。下载或上传etcd-v3.5.0-linux-amd64.tar.gz包到/root目录。
k8skube-vip
小单的博客专栏
12-21 5115
如题,vip 顾名思义 虚拟 IP,从应用场景上来讲,kube-vip 实现的最终结果就是我们常说的 Keepalived 高可用方案。 kube-vip 部署 一、参数配置 export VIP=192.168.1.213 export INTERFACE=lo export KVVERSION=v0.4.0 VIP是虚拟IP地址,和主机同一个网段,且未被占用 INTERFACE是主机的网络接口名称,例如 lo、ens192、eth0 等 KVVERSION是你需要部署kube-vip的版本号,可
基于 kube-vip 部署 kubernetes 高可用集群
IT
08-31 5233
kube-vip 是一个开源项目,旨在简化为 Kubernetes 集群提供负载均衡服务。kube-vipKubernetes 集群提供虚拟 IP 和负载均衡器,用于控制平面(用于构建高可用集群)和 Kubernetes 服务类型,而无需依赖LoadBalancer任何外部硬件或软件。kube-vip 的最初目的是简化高可用(HA)Kubernetes 集群的构建,当时该集群涉及一些需要管理的组件和配置。
手把手教你使用 Kube-Vip 部署一个生产级别的高可用 Kubernetes 集群
easylife206的专栏
06-21 6080
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !kube-vip 可以在你的控制平面节点上提供一个 Kubernetes 原生的 HA 负载均衡,我们不需...
kube-vip:Kubernetes 控制平面虚拟 IP 和负载均衡器
08-04
kube-vip 高可用性和负载平衡 概述 用于控制平面和 Kubernetes 服务的 Kubernetes 虚拟 IP 和负载均衡器 kube-vip背后的想法是一个适用于所有环境的小型独立的高可用性选项,尤其是: 裸机 边缘(手臂/树莓派) 虚拟化 几乎在其他任何地方:) 注意:所有使用和架构的文档现在都可以在。 特征 Kube-Vip 最初是为 Kubernetes 控制平面提供 HA 解决方案而创建的,随着时间的推移,它已经发展为将相同的功能合并到 Kubernetes 服务类型。 VIP 地址可以是 IPv4 或 IPv6 带有 ARP(第 2 层)或 BGP(第 3 层)的控制平面 使用或控制平面 带有 kubeadm(静态 Pod)的控制平面 HA 带有 K3s/和其他(守护进程)的控制平面 HA 使用 ARP服务负载均衡器(第 2 层) 通过 BGP 使
kubekey部署k8s1.22.10与kube-vip实现高可用
weixin_50763319的博客
07-31 579
vip
使用 kube-vip 搭建高可用 Kubernetes 集群
m0_58478012的博客
06-22 499
使用 kube-vip 搭建高可用 Kubernetes 集群 kube-vip 可以在你的控制平面节点上提供一个 Kubernetes 原生的 HA 负载均衡,我们不需要再在外部设置 HAProxy 和 Keepalived 来实现集群的高可用了。 kube-vip 是一个为 Kubernetes 集群内部和外部提供高可用和负载均衡的开源项目,在 Vmware 的 Tanzu 项目中已经使用 kube-vip 替换了用于 vSphere 部署的 HAProxy 负载均衡器,本文我们将先来了解 kube-v
kube-keepalived-vip:使用keepalived的Kubernetes虚拟IP地址
02-03
kube-keepalivedvip 使用Kubernetes虚拟IP地址 AKA“如何使用在kubernetes中设置虚拟IP地址”。 总览 在当前的kubernetes服务模型中有两种公开服务的方法: 创建一个云负载均衡器。 在群集中的每个节点上分配一个端口(相同的端口),并将通过该端口的流量代理到端点。 这样就行了。 那是什么问题呢? 问题是它不能提供高可用性,因为需要事先知道正在运行的节点的IP地址,并且在发生故障的情况下,可以将Pod移到其他节点。 这是ipvs可以提供帮助的地方。 这个想法是为每个服务定义一个IP地址,以将其公开到Kubernetes集群之外,并使用vrrp在本地网络中宣布此“映射”。 如果群集中有2个或更多Pod实例运行,则可以使用单个IP地址提供高可用性。 与公开一个或多个服务的或什么区别? 应该将其视为补充,而不是HAProxy或nginx的替代。 使用keepalived的目标是提供高可用性并确定如何实现公开的服务(之前我们知道IP地址与运行节点无关)。 例如,keepalived可用于使用一个IP地址在LAN中公开service-loa
kube-vip实现k8s高可用集群搭建.pdf
01-12
kube-vip实现k8s高可用集群搭建
推荐一款 Kubernetes 高可用与负载均衡利器:kube-vip
gitblog_00031的博客
05-13 580
推荐一款 Kubernetes 高可用与负载均衡利器:kube-vip部署和管理 Kubernetes 集群时,确保高可用性和有效的负载均衡是至关重要的。今天,我们向您推荐一个名为 kube-vip 的开源项目,它专注于解决这些问题,提供了一种简洁而强大的解决方案。 项目介绍 kube-vip 是一款轻量级的虚拟 IP 和负载均衡工具,专为 Kubernetes 设计,无论是在裸机环境、边缘计...
kube-vip 高可用k8s
weixin_42562106的博客
07-04 940
为什么选择kube-vip不解释,因为它更科学 创建一个静态pod配置 K8S相关文件 编辑kubeadm.yaml 查看拉取镜像 再创建一个高可用的vip 自己添加一下时区(不在乎的时间的可以跳过此步) 重新创建 ==最后再将刚才的静态pods移除 ==......
如何通过kube-vip实现K8S集群高可用及Service LB
weixin_64274932的博客
05-13 1049
与传统高可用+负载均衡机制相比较(如nginx/haproxy+keepalived) ,它属于云原生的高可用以及负载均衡机制,运行在群集之内,配置也更简单。当 kube-vip 启动后,将在所有匹配类型为 loadBalancer 的服务上启用一个名为 watcher 的监听器。此时可验证,群集master中的leader故障时(如关机),集群地址vip漂移到其他master节点,群集仍可用。注:如果有节点未加入群集,可修改如下参数,重新启动(以master03为例),
Kubernetes LoadBalancer Service 与负载均衡器
架构师小秘圈
10-03 1631
之前介绍过一些 Ingress 使用,比如 Ingress SSL 透传、Ingress 的多租户。从 Demo 看起来是创建 Ingress 之后,就能从集群外访问服务了。实际上除了 Ingress 的作用以外,还有 Kubernetes Service 和负载均衡器(Load Balancer)参与(当Service类型为LoadBalancer时)。这篇文章就来介绍了 Kuberne...
【亲测免费】 kube-vip 使用教程
gitblog_00659的博客
08-07 1095
kube-vip 使用教程 项目介绍 kube-vip 是一个用于 Kubernetes 控制平面的虚拟 IP 和负载均衡器。它旨在简化高可用 Kubernetes 集群的构建,特别是在裸机、边缘(ARM/Raspberry PI)和虚拟化环境中。kube-vip 支持 IPv4 和 IPv6 地址,可以使用 ARP(第2层)或 BGP(第3层)进行控制平面管理,支持领导者选举或 raft 算法,...
kube-vip 项目教程
gitblog_00902的博客
08-07 705
kube-vip 项目教程 kube-vip一个简单、轻量级的Kubernetes虚拟IP地址(VIP)管理器,用于高可用集群。 - 功能:虚拟IP地址管理;高可用集群管理;Kubernetes服务管理。 - 特点:简单易用;轻量级;支持多种部署策略;与Kubernetes无缝集成。项目地址:https://gitcode.com/gh_mirrors/ku/kube-vip 1. 项目...
为什么k8s集群去安装kube-prometheus技术栈时,会默认在monitoring空间下配置很多neworkpolicy,导致新手部署完访问不了
03-12
<think>嗯,用户问为什么在Kubernetes集群安装kube-prometheus技术栈时,默认会在monitoring命名空间下配置很多NetworkPolicy,导致新手部署后无法访问。我需要先回忆一下kube-prometheus的默认配置和NetworkPolicy的作用。 首先,kube-prometheus是一个集成了Prometheus Operator、Grafana、Alertmanager等组件的堆栈,用于监控Kubernetes集群。安装时会自动创建各种资源,包括Deployment、Service、ServiceMonitor以及NetworkPolicy。NetworkPolicy是Kubernetes中用来控制Pod之间网络流量的资源,它定义了哪些Pod可以相互通信,以及允许的端口和协议。 新手部署后无法访问,很可能是因为NetworkPolicy默认设置比较严格,限制了外部访问。比如,Grafana或Prometheus的Web界面可能需要通过Ingress或NodePort暴露,但NetworkPolicy可能只允许来自特定命名空间或标签的Pod的流量,导致外部请求被拒绝。 接下来,我需要考虑kube-prometheus默认生成的NetworkPolicy有哪些。例如,可能有针对Prometheus、Alertmanager、Grafana等的策略,限制入口流量仅来自监控组件内部或kube-system命名空间。如果用户没有正确配置Ingress或Service,或者没有在允许的IP范围内,就会无法访问。 另外,Kubernetes的NetworkPolicy需要网络插件支持,比如Calico、Cilium或Weave Net。如果集群的网络插件不支持NetworkPolicy,这些策略实际上不会生效,但用户的问题里提到无法访问,所以可能插件是支持的,但策略阻止了流量。 新手可能遇到的问题包括:不了解NetworkPolicy的存在,没有调整默认策略,或者没有正确暴露服务。例如,如果用户通过NodePort或LoadBalancer暴露了Grafana,但NetworkPolicy只允许来自特定标签的Pod的流量,外部请求就会被拒绝。 解决方法可能包括:检查默认生成的NetworkPolicy,调整允许的入口规则,或者暂时禁用某些策略以测试访问。但建议用户不要直接删除所有策略,而是根据需求逐步调整,保持必要的安全限制。 还需要考虑kube-prometheus的版本,不同版本可能生成不同的NetworkPolicy配置。用户可能使用的是较新的版本,默认启用了更多的网络策略,而旧版本可能没有这些策略。 总结来说,回答需要解释NetworkPolicy的作用,kube-prometheus默认配置的原因,导致访问问题的具体策略,以及解决方法和最佳实践。</think>### 问题本质分析 当使用 **kube-prometheus** 部署监控技术栈时,默认在 `monitoring` 命名空间下生成的 `NetworkPolicy` 是一套 **白名单规则**,用于限制对监控组件的网络访问。这对新手来说容易导致以下现象: - **Grafana/Prometheus Web 界面无法通过浏览器访问** - **其他命名空间的 Pod 无法调用监控组件接口** - **NodePort/LoadBalancer 暴露服务后仍被拦截** 根本原因是:**NetworkPolicy 默认仅允许特定来源的流量**,而新手往往未显式配置放行规则。 --- ### 关键 NetworkPolicy 及其作用 以下是 kube-prometheus 默认生成的核心策略: #### 1. **允许监控组件内部通信** ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-monitoring spec: podSelector: matchLabels: app.kubernetes.io/part-of: kube-prometheus ingress: - from: - namespaceSelector: matchLabels: kubernetes.io/metadata.name: monitoring ports: - protocol: TCP port: 9090 # Prometheus - protocol: TCP port: 3000 # Grafana ``` **效果**:仅允许 `monitoring` 命名空间内的 Pod 访问 Prometheus/Grafana。 --- #### 2. **放行 Kubernetes 核心组件** ```yaml - from: - namespaceSelector: matchLabels: kubernetes.io/metadata.name: kube-system - podSelector: matchLabels: k8s-app: node-exporter ``` **效果**:允许 `kube-system` 命名空间和 `node-exporter` 的数据采集。 --- #### 3. **拒绝所有其他流量** 默认策略的缺省行为是 **拒绝所有入口流量(Deny All)**,导致外部访问被拦截。 --- ### 新手常见问题场景 #### 场景 1:通过 NodePort 访问 Grafana 被拒绝 **现象**:浏览器访问 `http://<NodeIP>:30000` 超时。 **原因**:Grafana 的 NetworkPolicy 未放行外部 IP。 #### 场景 2:其他命名空间的 Pod 调用 Prometheus API 失败 **现象**:代码访问 `http://prometheus-k8s.monitoring.svc:9090` 返回连接拒绝。 **原因**:调用方 Pod 未匹配 NetworkPolicy 的 `namespaceSelector` 或 `podSelector`。 --- ### 分步解决方案 #### 方法 1:临时禁用 NetworkPolicy(测试环境) ```bash # 删除所有监控相关的 NetworkPolicy kubectl delete networkpolicies -n monitoring --all ``` **注意**:此操作会暴露监控组件到整个集群网络,仅建议在测试环境使用。 --- #### 方法 2:放行特定来源流量(生产推荐) **示例**:允许 `default` 命名空间的 Pod 访问 Grafana: ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-grafana-from-default namespace: monitoring spec: podSelector: matchLabels: app.kubernetes.io/name: grafana ingress: - from: - namespaceSelector: matchLabels: kubernetes.io/metadata.name: default ports: - protocol: TCP port: 3000 ``` --- #### 方法 3:放行外部 IP 段 **示例**:允许办公网 IP 范围 `192.168.1.0/24` 访问 Prometheus: ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-prometheus-external namespace: monitoring spec: podSelector: matchLabels: app.kubernetes.io/name: prometheus ingress: - from: - ipBlock: cidr: 192.168.1.0/24 ports: - protocol: TCP port: 9090 ``` --- #### 方法 4:调整 Service 类型 + Ingress 通过 **Ingress Controller** 暴露服务,并在 NetworkPolicy 中放行 Ingress Controller 的 Pod: ```yaml # 放行 Ingress Controller 的流量 - from: - namespaceSelector: matchLabels: kubernetes.io/metadata.name: ingress-nginx podSelector: matchLabels: app.kubernetes.io/name: ingress-nginx ``` --- ### 原理解析:为什么默认配置如此严格? kube-prometheus 的设计遵循 **最小权限原则**,默认 NetworkPolicy 的作用包括: 1. **防止监控数据泄露**:避免集群内其他组件误读敏感指标。 2. **减少攻击面**:阻止非授权 Pod 访问 Prometheus 的 Admin API。 3. **符合安全合规要求**:满足 PCI DSS、HIPAA 等场景的网络隔离需求。 --- ### 最佳实践建议 1. **按需开放端口**:使用 `kubectl describe networkpolicies -n monitoring` 分析现有规则。 2. **标签精细化控制**:通过 `podSelector` 精确放行特定应用。 3. **结合 ServiceMonitor 使用**:自动发现监控目标时,确保其 Pod 标签匹配 NetworkPolicy。 4. **定期审计策略**:检查是否有冗余或过期的规则。 --- ### 排查命令清单 ```bash # 查看所有 NetworkPolicy kubectl get networkpolicies -n monitoring # 检查策略详情 kubectl describe networkpolicy <policy-name> -n monitoring # 模拟流量测试(需安装 `knp` 工具) knp monitoring allow-grafana-from-default ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值