需要调试在 Kubernetes 集群中运行的应用程序?端口转发是一种连接到不可公开访问的 Pod 的方法。您可以使用此技术来检查数据库、监控工具和其他您希望在没有公共路由的情况下在内部部署的应用程序。
端口转发内置于 Kubectl中。CLI 可以启动隧道会话,将本地端口上的流量重定向到 Kubernetes 集群中的 Pod。这是设置它的方法。
端口转发的工作原理
端口转发是一种网络地址转换 (NAT) 规则,可将流量从一个网络路由到另一个网络。在 Kubernetes 的上下文中,看似被终止的请求localhost被重定向到集群的内部网络。
端口转发仅在端口级别运行。您将特定端口33060(例如目标网络)定向到目标端口3306。当您将流量发送到本地端口33060时,它将自动转发到3306远程端口。
此技术允许您访问未由NodePort、Ingress或 LoadBalancer 公开的私有 Kubernetes 工作负载。您可以将本地流量直接引导至集群,无需为内部工作负载创建 Kubernetes 服务。这有助于减少您的攻击面。
部署示例应用程序
现在让我们看看 Kubernetes 端口转发的实际应用。首先创建一个基本部署,您将在下一节中使用端口转发连接到该部署。
我们使用 MySQL 数据库 Pod 作为您可能需要使用此技术的实际示例。数据库通常不会公开公开,因此 Kubernetes 管理员经常使用端口转发来打开直接连接。
为您的部署创建一个 YAML 文件:
apiVersion