Kubectl: доступ к кластеру kubernetes с использованием приватной размещенной зоны route53

Question

Я смотрел свой кластер kubernetes на AWS EC2 копиями, используя частную размещенную зону в route53.Теперь, когда я делаю что-то вроде kubectl get nodes, клиент говорит, что он не может подключиться к api.kops.test.com, поскольку не может его разрешить.Поэтому я исправил эту проблему, вручную добавив api.kops.test.com и соответствующий ему общедоступный IP-адрес (полученный через наборы записей) в файл /etc/hosts.

Я хотел знать, есть ли более чистый способ сделать это (безизменение общесистемного файла /etc/hosts), возможно программным способом или через сам клиент.

Answer 1

Прагматически говоря, я бы добавил общедоступный IP-адрес как IP SAN к сертификату x509 мастера, а затем просто использовал бы общедоступный IP-адрес в вашем kubeconfig.Либо это, либо DNS-запись , а не в зоне частного маршрута53.

Вы находитесь в ситуации, когда вы намеренно сделали вещи частными, поэтому теперь они есть.

---

Другой вариант, в зависимости от того, стоит ли это усилий, - это использовать VPN-сервер в вашем VPC, а затем подключить вашу машину к EC2, где VPN-соединение может добавить DNS-серверы EC2 в конфигурацию вашей машины в качестве побочного эффекта.подключения.Наш корпоративный клиент Cisco AnyConnect делает нечто очень похожее на это.