当我们访问集群内部服务,如postgres
,redis
,traefik Dashboard
,gitlab
时,如果直接暴露在公网中,会造成很大的安全隐患,而使用 Basic Auth
,WhiteList
等也稍微有些繁琐
此时在开发环境使用 VPN
连接集群是一个不错的选择
Q: 在集群中如何保证私有服务的安全性
<!--more-->
- 原文链接: 使用 openvpn 与集群内部服务通信
- 系列文章: 当我有台服务器时我做了什么
部署 openvpn
我们使用 docker-compose
部署 openvpn
。
准备 docker-compose.yaml
如下,我们同样把它置于网络 traefik-default
下。traefik-default
是 traefik
用以服务发现的所有应用的入口网关,详情可参考上一节 traefik 简易入门
关于配置文件,我维护在我的 github 仓库 shfshanyue/op-note:compose 中
version: '3'
services:
openvpn:
cap_add:
- NET_ADMIN
image: kylemanna/openvpn
container_name: openvpn
ports:
- "1194:1194/udp"
restart: always
volumes:
- ./openvpn-data/conf:/etc/openvpn
networks:
default:
external:
name: traefik_default
初始化配置文件,注意替换掉你真实的公网IP,并且需要在 iptables
或者阿里云安全组中 1194 端口接收端口转发
$ docker run -v $(pwd)/openvpn-data/conf:/etc/openvpn --log-driver=none --rm kylemanna/openvpn ovpn_genconfig -u udp://<IP>
初始化证书,此时需要交互式确认密码
$ docker run -v $(pwd)/openvpn-data/conf:/etc/openvpn --log-driver=none --rm -it kylemanna/openvpn ovpn_initpki
生成客户端证书
$ docker run -v $(pwd)/openvpn-data/conf:/etc/openvpn --log-driver=none --rm -it kylemanna/openvpn easyrsa build-client-full shanyue nopass
生成客户端配置文件 shanyue.ovpn
,成功生成后需要把该文件传到本地。
$ docker run -v $(pwd)/openvpn-data/conf:/etc/openvpn --log-driver=none --rm kylemanna/openvpn ovpn_getclient shanyue > shanyue.ovpn
客户端连接
使用 rsync
把生成的配置文件传到本地环境
rsync -avhzP dev:/path/openvpn/shanyue.ovpn .
下载并使用工具 tunnelblick 打开生成的配置文件,点击连接 vpn,连接成功
访问内部集群
在 traefik 简易入门 中,我们在集群中配置了 whoami.docker.localhost
用以访问 whoami
服务。
查看 traefik
的网络 IP
$ docker network inspect traefik-default
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
"Subnet": "172.18.0.0/16",
"Gateway": "172.18.0.1"
}
]
},
找到 IP 后,我们通过 curl
查看服务是否可以正常访问,服务正常
$ curl -H Host:whoami.docker.localhost http://172.18.0.1
Hostname: eb290c85a325
IP: 127.0.0.1
IP: 172.18.0.2
RemoteAddr: 172.18.0.3:34012
GET / HTTP/1.1
Host: whoami.docker.localhost
User-Agent: curl/7.54.0
Accept: */*
Accept-Encoding: gzip
X-Forwarded-For: 172.18.0.1
X-Forwarded-Host: whoami.docker.localhost
X-Forwarded-Port: 80
X-Forwarded-Proto: http
X-Forwarded-Server: 11e1f03c87ef
X-Real-Ip: 172.18.0.1
关于 Host
此时我们访问 whoami.docker.localhost
仍然是通过指定 Host 的方式
$ curl -H Host:whoami.docker.localhost http://172.18.0.1
那我们为什么不能直接 curl whoami.docker.localhost
来访问服务呢?
因为 DNS 无法解析到正确的地址
那我们使用 IP 地址又不是很方便,这时应该怎么办?
本地 DNS 设置
使用 dnsmasq 为内部集群搭建本地 DNS 服务器,搭建好本地 DNS 服务器后,此时我们需要做的是在连接上openVPN时自动修改/etc/resolv.conf
这里有关于 openvpn
配置文件的官方文档: Openvpn How To
修改服务器中的配置文件 openvpn-data/conf/openvpn.conf
,添加一行,如下所示。它会修改客户端的 DNS nameserver 地址为 172.18.0.1
# 在所有客户端设置 DNS 服务器为 172.18.0.1
push "dhcp-option DNS 172.18.0.1"
重启服务
docker-compose restart
客户端 DNS 测试
当客户端连接 openvpn
时,会自动修改 /etc/resolv.conf
文件,查看文件,修改成功
search openvpn
nameserver 172.18.0.1
此时可以直接 curl
该地址,连接成功
$ curl whoami.docker.localhost
Hostname: fe78f4e43924
IP: 127.0.0.1
IP: 172.18.0.2
RemoteAddr: 172.18.0.3:51600
GET / HTTP/1.1
Host: whoami.docker.localhost
User-Agent: curl/7.54.0
Accept: */*
Accept-Encoding: gzip
X-Forwarded-For: 172.18.0.1
X-Forwarded-Host: whoami.docker.localhost
X-Forwarded-Port: 80
X-Forwarded-Proto: http
X-Forwarded-Server: 9d783174aca9
X-Real-Ip: 172.18.0.1
我是山月,可以加我微信 shanyue94
与我交流,备注交流。另外可以关注我的公众号【全栈成长之路】
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。