如何花点钱突破华为云CCE服务的“防线”

admin2020-10-14云资讯1295 浏览

申明：所有的一切都是为了使得华为云可以更好，而不是为了diss它。

通过华为云购买多个K8s集群，又想使用原生K8s接口调用这些集群，有什么好的方式？目前使用CCE服务的API依然是最好的选择。但同时CCE的API又存在诸多限制，如API限流，部分原生接口未开放等。那有没有方法绕开CCE的限制，自由的调用K8s的API呢？本文就是给出一个绕开“防线”的思路。欢迎交流指正~

1 使用场景+遇到的困难

使用场景：我有多个K8s集群。我的“管理模块”（即主系统，是一个批处理系统）跑在一个独立的VPC中，与干活的K8s隔离。然后会调用K8s的接口，投递Job任务到对应的K8s集群中开始干活。如下图：

当前遇到的困难：限流+部分API未暴露。所以希望能有一条上图黄色的通道。

1.1 给每个K8s集群，买个EIP呗？

显然，可行性没问题。但是这个方案并不好：

（1） EIP需要额外付费，价格也不便宜。

（2） EIP是互联网地址，明明我所有程序都在华为云，为什么报文要走互联网绕一圈。

（3） K8s集群并不想对互联网外部暴露，徒增安全风险。

那看看其他方式吧

1.2 华为云VPC打通服务 VPC-endpoint

我们知道跨vpc（特别是跨租户的vpc），可通过华为云的 vpc-endpoint 服务完成连接通道的打通。

参考：https://support.huaweicloud.com/productdesc-vpcep/zh-cn_topic_0131645196.html

既然EIP不合适，那我们就走全部华为云内网的 vpc-endpoint 方案吧。

2 跨VPC打通通道。

定下整体方案是就是利用 vpc-endpoint 来打通绕开CCE API-Server的限制。

以下就是操作过程：

2.1 VPCEP直接连3台K8s-Master。（失败）

每个CCE集群，都会有一个内网访问的IP地址。其Master的IP可以在界面看到。

那咱直接让 vpc-endpoint 对接这个IP不就完了么？

如下图：

想法虽然好，可是事实是残酷的。

（1） CCE给出的这个内网IP地址是一个vip（虚IP），本身是用来保证可靠性的。当某台master挂了，会自动漂移到其他2台Master上面。

（2）经过确认：Vpc-endpoint使用的是vxlan隧道，走的是点对点协议。也就是vpcep会最终绑定到Master节点的实际IP地址。当vip发生漂移时，vpcep就会失效（不支持自动检测漂移，需要重新绑定到新的节点）。

所以也就没办法通过vpcep直接连3台Master了。

3 通过ELB中转一次连K8s-Master

vpcep服务当前只能对接（1）ELB实例 or （2）具体的ECS 这2种后端。

而这里咱们有3台Master节点，显然第（2）种就不合适。所以咱就走（1）elb实例吧。

接下来==》那咱重点分析 “k8s集群怎么对接elb”吧。

3.1 使用CCE提供的：Service绑定elb功能。（失败）

K8s自带了一个访问api-server的 service。

所有集群里面的容器，都可以通过这个地址，访问Master。

那我们通过elb去连接这个svc，不就可以了么？

根据CCE的文档，操作起来：

https://support.huaweicloud.com/usermanual-cce/cce_01_0014.html

给SVC设置一个：annotation，带上elb实例id。走起~

嗯？报错了。。

k8s里面的controller报错说：连elb的svc必须要有selector。

也就使用elb直接连那个“无selector”的 “kubernetes” service，CCE的controller会报错，此路走不通。。。

唐老师注：说明controller实现时，考虑的兼容性不够强。当已经有 endpoints 了，应没必要强制要求有 selector了（因为k8s的selector的目的就是为了找到目标地址，咱这里目标都已经提前知道了）

3.2 使用ELB去连3台K8s-Master地址。（失败）

既然CCE的Service实现带了约束，导致Master无法直接对接elb。那咱就直接从elb角度，直接去连3台master吧（cce的controller，也是调用elb的api来关联的）。

如下图：

可是，事实还是失败告终。

原因：当前华为云的elb只能连 ECS 的主网卡，而咱们的3台CCE Master节点的网卡，都是从网卡。如下图：

ELB实例不支持连从网卡（如下图）。。。

据说华为云的下一代elb（v3）支持连从网卡。于是当前，此路不通~

4 再找个Nginx中转一次吧

Elb不能直接连master节点，而elb连Service又必须得带selector。那就只能额外部署一个proxy容器，使用selector先到这个proxy容器，再转到Master。

4.1 通过Configmap挂载Nginx配置文件。（失败）

启动 Nginx 得有个 conf 配置。咱们通过 configmap 将nginx.conf配置文件挂载到Nginx容器里面。

嗯？怎么报错了。华为云的WAF将CCE的这个创建Configmap的API拦截了。。。

所以自动化启动Nginx（通过CCE的API-server）是行不通了。

4.2 从K8s内部创建Configmap并挂载。（成功）

走CCE云服务API接口失败，那就走K8s内部的原生接口吧。

# kubectl create configmap nginx --from-file=nginx.conf

其中 nginx.conf 的内容如下：

user  nginx;
worker_processes  1;
 
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
 
events {
    worker_connections  1024;
}
 
stream {
 
    log_format proxy '$remote_addr [$time_local] '
                 '$protocol $status $bytes_sent $bytes_received '
                 '$session_time "$upstream_addr" '
                 '"$upstream_bytes_sent" "$upstream_bytes_received" "$upstream_connect_time"';
 
    access_log /opt/software/nginx/logs/tcp-access.log proxy ;
    open_log_file_cache off;
         
         upstream kubeapi {
                   server kubernetes.default:443;
         }
 
         server {
                   listen 443;
                   proxy_connect_timeout 8s;
                   proxy_timeout 24h;
                   proxy_pass kubeapi;
         }
}

创建configmap完成。