借Kubernetes-Pod访问内部服务器组件

发表于2025-09-15|更新于2025-10-23|k8s

|总字数:1.1k|阅读时长:3分钟|浏览量:

当我们在 Kubernetes 上工作时，有时会遇到这样的场景：我们需要从本地访问一个位于集群内部的 Redis 服务器，但出于安全考虑，这个 Redis 服务并没有直接暴露给外部。不过，集群里有一个 Pod 已经具备了访问这个 Redis 服务器的能力。

利用这个 Pod 作为跳板，我们可以安全地从本地连接到目标 Redis 服务器。由于这个 Pod 本身并不是 Redis 服务，我们不能直接使用 kubectl port-forward。相反，我们需要在 Pod 内部运行一个临时的代理进程。

下面是实现这个目标的详细步骤，可以作为你的操作笔记或博客文章。

借道 Kubernetes Pod 访问内部 Redis 服务器

步骤零：先安装必要工具

1	apt install -y socat net-tools

步骤一：找到你的“跳板” Pod

首先，你需要确定那个能够连接到 Redis 服务器的 Pod 的名称。你可以使用 kubectl 命令列出集群中的所有 Pod：

1	kubectl get pods

从列表中找到你需要的 Pod，例如它的名字是 my-redis-client-pod。

步骤二：在 Pod 内部启动一个端口转发代理

由于 Pod 本身没有 Redis 服务在运行，我们需要在它内部创建一个临时的代理。我们将使用 socat 工具来完成这项工作，它能够将流量从一个端口转发到另一个地址。

使用 kubectl exec 命令进入 Pod，并在其中运行 socat。你需要知道 Redis 服务器的实际地址（IP 或域名）和端口。

假设你的 Redis 服务器地址是 10.244.0.5:6379，执行以下命令：

1	kubectl exec -it my-redis-client-pod -- sh -c "nohup socat TCP-LISTEN:6379,fork TCP:10.244.0.5:6379 > /tmp/socat_redis.log 2>&1 &"

命令详解：

kubectl exec -it my-redis-client-pod: 这会进入你的目标 Pod 的交互式终端。
sh -c "...": 在 Pod 的 shell 中执行后面的命令。
socat TCP-LISTEN:6379,fork TCP:10.244.0.5:6379:
- TCP-LISTEN:6379: 让 socat 在 Pod 内部监听 6379 端口。
- ,fork: 为每一个新的连接请求创建一个独立的进程，确保可以处理多个连接。
- TCP:10.244.0.5:6379: 将所有流量转发到 Redis 服务器的实际地址和端口。

重要提示：

请将 10.244.0.5:6379 替换为你实际的 Redis 服务器地址。
此方法要求你的 Pod 镜像中包含 socat 工具。如果缺少，你可能需要考虑使用一个包含此工具的镜像或手动安装。

此命令会持续运行，并在终端中保持阻塞状态。

步骤三：从本地执行端口转发

现在，Pod 的 6379 端口已经“活”了。接下来，你可以从本地将端口转发到这个 Pod。

打开一个新的终端窗口，并运行 kubectl port-forward 命令：

1	kubectl port-forward my-redis-client-pod 6379:6379

命令详解：

第一个 6379: 这是你本地电脑的端口，你可以使用任何空闲端口。
第二个 6379: 这是 Pod 内部我们刚刚用 socat 启动的监听端口。

这个命令会建立一个安全的隧道，将你本地 6379 端口的流量转发到 Pod 的 6379 端口。

步骤四：从本地连接 Redis

最后一步，使用你本地的 Redis 客户端连接到 localhost 和你在上一步指定的端口。

如果你使用的是 redis-cli，只需执行：

1	redis-cli -h 127.0.0.1 -p 6379

或者，如果你使用图形化 Redis 客户端（如 RedisInsight），只需将连接配置为：

主机 (Host): 127.0.0.1
端口 (Port): 6379

现在，你的连接将通过你本地的端口转发隧道，穿过 Pod 内部的 socat 代理，最终到达 Kubernetes 集群内部的 Redis 服务器。

如何结束 socat 代理？

如果你希望停止这个代理，你需要手动结束 socat 进程。

如果 socat 在前台运行：回到运行 socat 的终端窗口，按 Ctrl + C 即可。
如果 socat 在后台运行：你需要进入 Pod，找到并杀死该进程。

进入 Pod：

1	kubectl exec -it my-redis-client-pod -- sh

查找 socat 进程的 PID：
1
2
3
ps aux | grep socat
or
netstat -tlnp | grep socat
在输出中，你会看到 socat 进程的 PID。
杀死进程：
1
kill <PID>
将 <PID> 替换为实际的进程 ID。

通过这种方法，你可以灵活地从本地安全地访问任何在集群内部的资源，而无需将其暴露给公共网络。

文章作者: 小五

文章链接: https://xiaowu95.wang/posts/47428800/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源小五的个人杂货铺！

k8s 容器化 k3s ingress

感谢支持

微信
支付宝

相关推荐

kubeconfig文件详解

在node节点上可以执行kubectl命令吗？ 12[root@k8s-node1 ~]# kubectl get nodeThe connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080 这个端口是k8s api（kube-apiserver非安全端口）的端口，*在master上面可以执行成功其实走的是配置文件。但是在node上连接的是本地的非安全端口。* 其实还有一个对外端口是6443，这个是kube-apiserver监听的，masterip:6443安全端口 12[root@k8s-master ~]# netstat -tpln | grep 6443tcp6 0 0 :::6443 :::* LISTEN 92617/kube-apiserve...

ingress-k3s之traefik的使用

前言Ingress Service可能会有很多，如果每个资源都绑定一个 node port的话，主机则需要开放外围的端口进行服务调用，管理上会比较混乱。比较优雅的方式是通过一个外部的负载均衡器，比如 nginx ，绑定固定的端口比如80，然后根据域名/服务名向后面的Service Ip转发，但是这里对问题在于：当有新服务加入的时候如何修改 Nginx 配置？手动改或者 Rolling Update Nginx Pod 都是不现实的。对于这个问题， k8s 给出的七层解决方案是：Ingress Traefik Træfik 是一个为了让部署微服务更加便捷而诞生的现代HTTP反向代理、负载均衡工具。它支持多种后台 (Docker, Swarm, Kubernetes, Marathon, Mesos, Consul, Etcd, Zookeeper, BoltDB, Rest API, file…) 来自动化、动态的应用它的配置文件设置。Traefix是k3s里面的Ingress Controller。支持负载均衡和反向代理，类似于ngnix。 Traefik...

kubernetes 安装 ingress nginx controller

参考：https://www.cnsre.cn/posts/210902330007 前言Service可能会有很多，如果每个资源都绑定一个 node port的话，主机则需要开放外围的端口进行服务调用，管理上会比较混乱。比较优雅的方式是通过一个外部的负载均衡器，比如 nginx ，绑定固定的端口比如80，然后根据域名/服务名向后面的Service Ip转发，但是这里对问题在于：当有新服务加入的时候如何修改 Nginx 配置？手动改或者 Rolling Update Nginx Pod 都是不现实的。对于这个问题， k8s 给出的七层解决方案是：Ingress ingress-nginxingress nginx 官方网站 ingress nginx 仓库地址 ingress-nginx v1.0 最新版本 v1.0 适用于 Kubernetes 版本 v1.19+ （包括 v1.19 ） Kubernetes-v1.22+ 需要使用 ingress-nginx>=1.0，因为 networking.k8s.io/v1beta 已经移除直接部署...

网站已更新最新版本点击刷新