在上一篇《边缘计算k8s集群之SuperEdge》文章中,笔者基于ECK搭建了边缘集群并添加了节点。通过边缘集群,我们可以很方便的管理各个地域的节点,本地、各云厂商的机房、客户所在地、海外的都可以。在本篇内容,我们将讲述如何使用ipsec-vpn-server,通过一行命令即可搭建内部的管道,用于锻炼技术,技术学习。
ipsec-vpn-server
ipsec-vpn-server可以让我们快速通过容器镜像搭建 IPsec VPN 服务器,支持 IPsec/L2TP,Cisco IPsec 和 IKEv2 协议。
官方镜像地址:
https://hub.docker.com/r/hwdsl2/ipsec-vpn-server
Github地址:
https://github.com/hwdsl2/docker-ipsec-vpn-server
官方的文档比较齐全,具体可以参考:
https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md
接下来,我们来演示下如何一行命令即可搭建自己的VPN服务器。
Docker部署
参考脚本如下所示:
docker run \--name ipsec-vpn-server \--env-file ./vpn.env \--restart=always \-v ikev2-vpn-data:/etc/ipsec.d \-p 500:500/udp \-p 4500:4500/udp \-d --privileged \hwdsl2/ipsec-vpn-server
env文件定义参考如下:
VPN_IPSEC_PSK=your_ipsec_pre_shared_key
VPN_USER=your_vpn_username
VPN_PASSWORD=your_vpn_password
执行成功后,可以查看docker日志(命令参考:docker logs ipsec-vpn-server)获得相关客户端配置信息。
日志中会输出以下内容:
Connect to your new VPN with these details:Server IP: 你的VPN服务器IP
IPsec PSK: 你的IPsec预共享密钥
Username: 你的VPN用户名
Password: 你的VPN密码
K8s部署
参考Yaml如下所示:
apiVersion: apps/v1
kind: Deployment
metadata:annotations:deployment.kubernetes.io/revision: "2"generation: 2labels:k8s-app: ipsec-vpn-server name: ipsec-vpn-server namespace: default
spec:progressDeadlineSeconds: 600replicas: 1revisionHistoryLimit: 10selector:matchLabels:k8s-app: ipsec-vpn-server strategy:rollingUpdate:maxSurge: 1maxUnavailable: 0type: RollingUpdate template:metadata:annotations:edge.tke.cloud.tencent.com/cpu: "1"edge.tke.cloud.tencent.com/mem: 2Gi creationTimestamp: nulllabels:k8s-app: ipsec-vpn-server spec:containers:- env:- name: VPN_IPSEC_PSK #IPsec PSK,预共享密钥value: "your_ipsec_pre_shared_key"- name: VPN_USER #用户名value: your_user_name - name: VPN_PASSWORD #密码value: "you_password"- name: VPN_SETUP_IKEV2 #启用IKEv2协议,推荐value: "yes"image: hwdsl2/ipsec-vpn-server imagePullPolicy: Always name: ipsec-vpn-server resources:limits:cpu: 500m memory: 1Gi requests:cpu: 250m memory: 256Mi securityContext:privileged: true #开启特级权限dnsPolicy: ClusterFirst hostNetwork: true #使用Host网络restartPolicy: Always terminationGracePeriodSeconds: 30
kubectl create -f ipsec-vpn.yaml
执行成功后,通过可以通过日志得到相关配置信息:
这里有不清楚的,可以参考笔者之前的教程:《使用Kubectl部署应用》
关于host network
在k8s中我们使用了host network模式,在docker中我们也可以采用这种模式。这是因为IKEv2协议的端口是固定的,如果通过k8s的service转发,则端口就发生了改变,因此在k8s中我们使用了host network模式,但是这是不推荐的。在该模式下,容器的网络栈未与 容器主机隔离,从而在使用 IPsec/L2TP 模式连接之后,VPN 客户端可以使用主机的 VPN 内网 IP 访问主机上的端口或服务。
端口说明
需要打开 UDP 端口 500 和 4500。
客户端连接配置
支持Window、OS X、Android、IOS、Chromebook、Linux,官方文档比较齐全,请参考:
无需额外安装客户端:
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md
Cisco IPsec(更高效地传输数据(较低的额外开销)):
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-xauth-zh.md
最后
是不是超级简单呢?赶紧实践实践吧?
如果对Docker和k8s还存在疑问,可以参考笔者之前的教程、博客和书籍《Docker+Kubernetes应用开发与快速上云》。
转载是一种动力 分享是一种美德
如果喜欢作者的文章,请关注【麦扣聊技术】订阅号以便第一时间获得最新内容。本文版权归作者和湖南心莱信息科技有限公司共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
文档官网:docs.xin-lai.com
QQ群:
编程交流群<85318032>
产品交流群<897857351>