在上一篇《邊緣計算k8s集群之SuperEdge》博客中,筆者基於ECK搭建了邊緣集群並添加了節點。通過邊緣集群,我們可以很方便的管理各個地域的節點,本地、各雲廠商的機房、客戶所在地、海外的都可以。在本篇內容,我們將講述如何使用ipsec-vpn-server,通過一行命令即可搭建內部的管道,用於鍛煉技術,技術學習。
ipsec-vpn-server
ipsec-vpn-server可以讓我們快速通過容器鏡像搭建 IPsec VPN 服務器,支持 IPsec/L2TP,Cisco IPsec 和 IKEv2 協議。
官方鏡像地址:https://hub.docker.com/r/hwdsl2/ipsec-vpn-server
Github地址:https://github.com/hwdsl2/docker-ipsec-vpn-server
官方的文檔比較齊全,具體可以參考:https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md
接下來,我們來演示下如何一行命令即可搭建自己的VPN服務器。
Docker部署
參考腳本如下所示:
docker run \
--name ipsec-vpn-server \
--env-file ./vpn.env \
--restart=always \
-v ikev2-vpn-data:/etc/ipsec.d \
-p 500:500/udp \
-p 4500:4500/udp \
-d --privileged \
hwdsl2/ipsec-vpn-server
env文件定義參考如下:
VPN_IPSEC_PSK=your_ipsec_pre_shared_key VPN_USER=your_vpn_username VPN_PASSWORD=your_vpn_password
執行成功后,可以查看docker日志(命令參考:docker logs ipsec-vpn-server)獲得相關客戶端配置信息。
日志中會輸出以下內容:
Connect to your new VPN with these details: Server IP: 你的VPN服務器IP IPsec PSK: 你的IPsec預共享密鑰 Username: 你的VPN用戶名 Password: 你的VPN密碼
K8s部署
參考Yaml如下所示:
apiVersion: apps/v1
kind: Deployment
metadata:
annotations:
deployment.kubernetes.io/revision: "2"
generation: 2
labels:
k8s-app: ipsec-vpn-server
name: ipsec-vpn-server
namespace: default
spec:
progressDeadlineSeconds: 600
replicas: 1
revisionHistoryLimit: 10
selector:
matchLabels:
k8s-app: ipsec-vpn-server
strategy:
rollingUpdate:
maxSurge: 1
maxUnavailable: 0
type: RollingUpdate
template:
metadata:
annotations:
edge.tke.cloud.tencent.com/cpu: "1"
edge.tke.cloud.tencent.com/mem: 2Gi
creationTimestamp: null
labels:
k8s-app: ipsec-vpn-server
spec:
containers:
- env:
- name: VPN_IPSEC_PSK #IPsec PSK,預共享密鑰
value: "your_ipsec_pre_shared_key"
- name: VPN_USER #用戶名
value: your_user_name
- name: VPN_PASSWORD #密碼
value: "you_password"
- name: VPN_SETUP_IKEV2 #啟用IKEv2協議,推薦
value: "yes"
image: hwdsl2/ipsec-vpn-server
imagePullPolicy: Always
name: ipsec-vpn-server
resources:
limits:
cpu: 500m
memory: 1Gi
requests:
cpu: 250m
memory: 256Mi
securityContext:
privileged: true #開啟特級權限
dnsPolicy: ClusterFirst
hostNetwork: true #使用Host網絡
restartPolicy: Always
terminationGracePeriodSeconds: 30
kubectl create -f ipsec-vpn.yaml
執行成功后,通過可以通過日志得到相關配置信息:
這里有不清楚的,可以參考筆者之前的教程:《使用Kubectl部署應用》。
關於host network
在k8s中我們使用了host network模式,在docker中我們也可以采用這種模式。這是因為IKEv2協議的端口是固定的,如果通過k8s的service轉發,則端口就發生了改變,因此在k8s中我們使用了host network模式,但是這是不推薦的。在該模式下,容器的網絡棧未與 容器主機隔離,從而在使用 IPsec/L2TP 模式連接之后,VPN 客戶端可以使用主機的 VPN 內網 IP 訪問主機上的端口或服務。
端口說明
需要打開 UDP 端口 500 和 4500。
客戶端連接配置
支持Window、OS X、Android、IOS、Chromebook、Linux,官方文檔比較齊全,請參考:
無需額外安裝客戶端:https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md
Cisco IPsec(更高效地傳輸數據(較低的額外開銷)):https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-xauth-zh.md
最后
是不是超級簡單呢?趕緊實踐實踐吧?
如果對Docker和k8s還存在疑問,可以參考筆者之前的教程、博客和書籍《Docker+Kubernetes應用開發與快速上雲》。