前言
在某些 air gap 场景中,往往需要离线或使用代理 (Proxy), 例如:
- 需要通过 Proxy pull 容器镜像:
- Docker Hub:
docker.io
- Quay:
quay.io
- GCR:
gcr.io
- GitHub 镜像库:
ghcr.io
- Docker Hub:
- 在某些企业环境中,需要通过代理访问外部服务
Docker 如何配置代理想必大家都很清楚,但是自从 Kubernetes 1.20 版本以后开始弃用 Docker, containerd 逐渐成为主流 CRI.
所以我们下面介绍一下如何配置 contaienrd 的 Proxy.
📝Notes:
还有一种场景需要 containerd 配置 proxy, 就是将 Dragonfly 和 containerd 结合使用 的时候。
Containerd 配置 Proxy 步骤
这里以通过 systemd 安装的 containerd 为例。
containerd 的配置一般位于 /etc/containerd/config.toml
下,service 文件位于:/etc/systemd/system/containerd.service
配置 Proxy 可以通过 service 环境变量方式配置,具体如下:
创建或编辑文件:/etc/systemd/system/containerd.service.d/http-proxy.conf
内容如下:
[Service]
Environment="HTTP_PROXY=http://127.0.0.1:7890"
Environment="HTTPS_PROXY=http://127.0.0.1:7890"
Environment="NO_PROXY=localhost"
配置后保存重启即可:
systemctl restart containerd.service
最佳实践:Proxy 中 NO_PROXY
的推荐配置
在配置 Proxy 时要特别注意,哪些要走 Proxy, 哪些不走 Proxy 要非常明确,避免出现网络访问异常甚至业务异常。
这里有个推荐 NO_PROXY
配置:
- 本地地址和网段:
localhost
和127.0.0.1
或127.0.0.0/8
- Kubernetes 的默认域名后缀:
.svc
和.cluster.local
- Kubernetes Node 的网段甚至所有应该不用 proxy 访问的 node 网段:
<nodeCIDR>
- APIServer 的内部 URL:
<APIServerInternalURL>
- Service Network:
<serviceNetworkCIDRs>
- (如有)etcd 的 Discovery Domain:
<etcdDiscoveryDomain>
- Cluster Network:
<clusterNetworkCIDRs>
- 其他特定平台相关网段(如 DevOps, Git/制品仓库。..):
<platformSpecific>
- 其他特定
NO_PROXY
网段:<REST_OF_CUSTOM_EXCEPTIONS>
- 常用内网网段:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
最终配置如下:
[Service]
Environment="HTTP_PROXY=http://127.0.0.1:7890"
Environment="HTTPS_PROXY=http://127.0.0.1:7890"
Environment="NO_PROXY=localhost,127.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.svc,.cluster.local,.ewhisper.cn,<nodeCIDR>,<APIServerInternalURL>,<serviceNetworkCIDRs>,<etcdDiscoveryDomain>,<clusterNetworkCIDRs>,<platformSpecific>,<REST_OF_CUSTOM_EXCEPTIONS>"
🎉🎉🎉
总结
Kubernetes 1.20 以上,企业 air gap 场景下可能会需要用到 containerd 配置 Proxy.
本文介绍了其配置方法,以及配置过程中 NO_PROXY
的最佳实践。
本文由东风微鸣技术博客 EWhisper.cn 编写!
原文地址:http://www.cnblogs.com/east4ming/p/16898399.html
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请务用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员!
8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载
声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性