一行命令搭建内部的管道
在上一篇《边缘计算k8s集群之SuperEdge》文章中,笔者基于ECK搭建了边缘集群并添加了节点。通过边缘集群,我们可以很方便的管理各个地域的节点,本地、各云厂商的机房、客户所在地、海外的都可以。在本篇内容,我们将讲述如何使用ipsec-vpn-server,通过一行命令即可搭建内部的管道,用于锻炼技术,技术学习。
ipsec-vpn-server
ipsec-vpn-server可以让我们快速通过容器镜像搭建 IPsec VPN 服务器,支持 IPsec/L2TP,Cisco IPsec 和 IKEv2 协议。
官方镜像地址:
https://hub.docker.com/r/hwdsl2/ipsec-vpn-server
Github地址:
https://github.com/hwdsl2/docker-ipsec-vpn-server
官方的文档比较齐全,具体可以参考:
https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/README-zh.md
接下来,我们来演示下如何一行命令即可搭建自己的VPN服务器。
Docker部署
参考脚本如下所示:
docker run \ --name ipsec-vpn-server \ --env-file ./vpn.env \ --restart=always \ -v ikev2-vpn-data:/etc/ipsec.d \ -p 500:500/udp \ -p 4500:4500/udp \ -d --privileged \ hwdsl2/ipsec-vpn-serverenv文件定义参考如下:
VPN_IPSEC_PSK=your_ipsec_pre_shared_keyVPN_USER=your_vpn_usernameVPN_PASSWORD=your_vpn_password执行成功后,可以查看docker日志(命令参考:docker logs ipsec-vpn-server)获得相关客户端配置信息。
日志中会输出以下内容:
Connect to your new VPN with these details:
Server IP: 你的VPN服务器IPIPsec PSK: 你的IPsec预共享密钥Username: 你的VPN用户名Password: 你的VPN密码K8s部署
参考Yaml如下所示:
apiVersion: apps/v1kind: Deploymentmetadata: annotations: deployment.kubernetes.io/revision: "2" generation: 2 labels: k8s-app: ipsec-vpn-server name: ipsec-vpn-server namespace: defaultspec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: k8s-app: ipsec-vpn-server strategy: rollingUpdate: maxSurge: 1 maxUnavailable: 0 type: RollingUpdate template: metadata: annotations: edge.tke.cloud.tencent.com/cpu: "1" edge.tke.cloud.tencent.com/mem: 2Gi creationTimestamp: null labels: k8s-app: ipsec-vpn-server spec: containers: - env: - name: VPN_IPSEC_PSK #IPsec PSK,预共享密钥 value: "your_ipsec_pre_shared_key" - name: VPN_USER #用户名 value: your_user_name - name: VPN_PASSWORD #密码 value: "you_password" - name: VPN_SETUP_IKEV2 #启用IKEv2协议,推荐 value: "yes" image: hwdsl2/ipsec-vpn-server imagePullPolicy: Always name: ipsec-vpn-server resources: limits: cpu: 500m memory: 1Gi requests: cpu: 250m memory: 256Mi securityContext: privileged: true #开启特级权限 dnsPolicy: ClusterFirst hostNetwork: true #使用Host网络 restartPolicy: Always terminationGracePeriodSeconds: 30kubectl create -f ipsec-vpn.yaml执行成功后,通过可以通过日志得到相关配置信息:
这里有不清楚的,可以参考笔者之前的教程:《使用Kubectl部署应用》
关于host network
在k8s中我们使用了host network模式,在docker中我们也可以采用这种模式。这是因为IKEv2协议的端口是固定的,如果通过k8s的service转发,则端口就发生了改变,因此在k8s中我们使用了host network模式,但是这是不推荐的。在该模式下,容器的网络栈未与 容器主机隔离,从而在使用 IPsec/L2TP 模式连接之后,VPN 客户端可以使用主机的 VPN 内网 IP 访问主机上的端口或服务。
端口说明
需要打开 UDP 端口 500 和 4500。
客户端连接配置
支持Window、OS X、Android、IOS、Chromebook、Linux,官方文档比较齐全,请参考:
无需额外安装客户端:
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-zh.md
Cisco IPsec(更高效地传输数据(较低的额外开销)):
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients-xauth-zh.md
最后
是不是超级简单呢?赶紧实践实践吧?
如果对Docker和k8s还存在疑问,可以参考笔者之前的教程、博客和书籍《Docker+Kubernetes应用开发与快速上云》。
腾讯云开发者
