百度网站前面的图片,汕头建站程序,中文响应式网站模板,威海网站建设费用目录
实验前期规划
1.拓扑图结构
2.实验要求
3.实验环境规划
一.kubeadm 部署 K8S 集群架构
1.环境准备
2.三个节点安装docker
3.三个节点安装kubeadm#xff0c;kubelet和kubectl
4.部署K8S集群
#xff08;1#xff09;初始化
4.部署K8S集群
#xff08;1kubelet和kubectl
4.部署K8S集群
1初始化
4.部署K8S集群
1初始化
2部署网络插件flannel
3测试创建 pod 资源
二.创建两个自主式的Pod资源
三.创建service资源
四、搭建负载均衡层
1.两台负载均衡器配置nginxlb01、lb02
2.两台负载均衡器配置keepalivedlb01、lb02
3.关闭主调度器的nginx服务模拟故障测试keepalived
五、配置防火墙服务器test6
1.两台负载均衡器将网关地址修改为防火墙服务器的内网IP地址lb01、lb02
2.配置防火墙服务器test6192.168.198.16
1关闭防火墙和selinux
2配置客户端地址外网
2开启路由转发功能
3配置iptables策略
六.客户端机器配置test7 实验前期规划
1.拓扑图结构 2.实验要求
(1)Kubernetes 区域可采用 Kubeadm 方式进行安装。kubectl get pods -o wide)
(2)要求在 Kubernetes 环境中通过yaml文件的方式创建2个Nginx Pod分别放置在两个不同的节点上Pod使用hostPath类型的存储卷挂载节点本地目录共享使用 /data2个Pod副本测试页面二者要不同以做区分测试页面可自己定义。(node 节点查看cat /data/index.html)
(3)编写service对应的yaml文件使用NodePort类型和TCP 30000端口将Nginx服务发布出去。master上查看node节点的端口curl 192.168.198.12:30000
(4)负载均衡区域配置KeepalivedNginx实现负载均衡高可用通过VIP 192.168.198.100和自定义的端口号即可访问K8S发布出来的服务。在lb01上查看虚拟VIP监听端口curl 192.168.198.100:3344
(5)iptables防火墙服务器设置双网卡并且配置SNAT和DNAT转换实现外网客户端可以通过12.0.0.1访问内网的Web服务。查看策略iptables -t nat -nL并且客户端访问12.0.0.13344
3.实验环境规划
节点IP地址安装的软件master(4C/4Gcpu核心数要求大于4192.168.198.11docker、kubeadm、kubelet、kubectl、flannelnode01(2C/2G)192.168.198.12docker、kubeadm、kubelet、kubectl、flannelnode02(2C/2G)192.168.198.13docker、kubeadm、kubelet、kubectl、flannellb01192.168.198.14nginxkeepalivedlb02192.168.198.15nginxkeepalived网关服务器test6内网网卡ens33192.168.198.16外网网卡ens36192.168.198.100iptables客户端test712.0.0.12
一.kubeadm 部署 K8S 集群架构
1.环境准备
所有节点操作
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X
swapoff -a #交换分区必须要关闭
sed -ri s/.*swap.*/#/ /etc/fstab #永久关闭swap分区符号在sed命令中代表上次匹配的结果
#加载 ip_vs 模块
for i in $(ls /usr/lib/modules/$(uname -r)/kernel/net/netfilter/ipvs|grep -o ^[^.]*);do echo $i; /sbin/modinfo -F filename $i /dev/null 21 /sbin/modprobe $i;done#修改主机名
hostnamectl set-hostname master
hostnamectl set-hostname node01
hostnamectl set-hostname node02#所有节点修改hosts文件
vim /etc/hosts
192.168.198.11 master
192.168.198.12 node01
192.168.198.13 node02#调整内核参数
cat /etc/sysctl.d/kubernetes.conf EOF
#开启网桥模式可将网桥的流量传递给iptables链
net.bridge.bridge-nf-call-ip6tables1
net.bridge.bridge-nf-call-iptables1
#关闭ipv6协议
net.ipv6.conf.all.disable_ipv61
net.ipv4.ip_forward1
EOF#生效参数
sysctl --system
2.三个节点安装docker
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
yum install -y docker-ce docker-ce-cli containerd.iomkdir /etc/docker
cat /etc/docker/daemon.json EOF
{
registry-mirrors: [https://6g3b0w0w.mirror.aliyuncs.com],
exec-opts: [native.cgroupdriversystemd],
log-driver: json-file,
log-opts: {
max-size: 100m
}
}
EOF
#使用Systemd管理的Cgroup来进行资源控制与管理因为相对Cgroupfs而言Systemd限制CPU、内存等资源更加简单和成熟稳定。
#日志使用json-file格式类型存储大小为100M保存在/var/log/containers目录下方便ELK等日志系统收集和管理日志。systemctl daemon-reload
systemctl restart docker.service
systemctl enable docker.servicedocker info | grep Cgroup Driver
#返回值
Cgroup Driver: systemd3.三个节点安装kubeadmkubelet和kubectl
cat /etc/yum.repos.d/kubernetes.repo EOF
[kubernetes]
nameKubernetes
baseurlhttps://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
enabled1
gpgcheck0
repo_gpgcheck0
gpgkeyhttps://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
EOFyum install -y kubelet-1.15.1 kubeadm-1.15.1 kubectl-1.15.1#开机自启kubelet
systemctl enable kubelet.service
#K8S通过kubeadm安装出来以后都是以Pod方式存在即底层是以容器方式运行所以kubelet必须设置开机自启4.部署K8S集群
1初始化
所有节点
#查看初始化需要的镜像
kubeadm config images list#开机自启kubelet
systemctl enable kubelet.service
#K8S通过kubeadm安装出来以后都是以Pod方式存在即底层是以容器方式运行所以kubelet必须设置开机自启4.部署K8S集群
1初始化
所有节点
#查看初始化需要的镜像
kubeadm config images listmaster 节点上操作
#在 master 节点上传 v1.20.11.zip 压缩包至 /opt 目录
cd /opt/
unzip v1.20.11.zip -d /opt/k8s
cd /opt/k8s/v1.20.11
for i in $(ls *.tar); do docker load -i $i; donenode01节点上操作
cd /opt/k8s/v1.20.11
for i in $(ls *.tar); do docker load -i $i; donenode02节点上操作
cd /opt/k8s/v1.20.11
for i in $(ls *.tar); do docker load -i $i; donemaster 节点上操作此处选用方法二的命令
#初始化kubeadm有两种方式方法二命令和方法一配置文件此处选用方法二的命令
方法一
kubeadm config print init-defaults /opt/kubeadm-config.yamlcd /opt/
vim kubeadm-config.yaml
......
11 localAPIEndpoint:
12 advertiseAddress: 192.168.198.11 #指定master节点的IP地址
13 bindPort: 6443
......
34 kubernetesVersion: v1.20.11 #指定kubernetes版本号
35 networking:
36 dnsDomain: cluster.local
37 podSubnet: 10.244.0.0/16 #指定pod网段10.244.0.0/16用于匹配flannel默认网段
38 serviceSubnet: 10.96.0.0/16 #指定service网段
39 scheduler: {}#末尾再添加以下内容apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
mode: ipvs #把默认的kube-proxy调度方式改为ipvs模式kubeadm init --configkubeadm-config.yaml --upload-certs | tee kubeadm-init.log
#--experimental-upload-certs 参数可以在后续执行加入节点时自动分发证书文件K8S V1.16版本开始替换为 --upload-certs
#tee kubeadm-init.log 用以输出日志#查看 kubeadm-init 日志
less kubeadm-init.log#kubernetes配置文件目录
ls /etc/kubernetes/#存放ca等证书和密码的目录
ls /etc/kubernetes/pki 方法二
方法二
kubeadm init \
--apiserver-advertise-address192.168.198.11 \
--image-repository registry.aliyuncs.com/google_containers \
--kubernetes-versionv1.20.11 \
--service-cidr10.96.0.0/16 \
--pod-network-cidr10.244.0.0/16 \
--token-ttl0初始化集群需使用kubeadm init命令可以指定具体参数初始化也可以指定配置文件初始化。 可选参数 –apiserver-advertise-addressapiserver通告给其他组件的IP地址一般应该为Master节点的用于集群内部通信的IP地址0.0.0.0表示节点上所有可用地址 –apiserver-bind-portapiserver的监听端口默认是6443 –cert-dir通讯的ssl证书文件默认/etc/kubernetes/pki –control-plane-endpoint控制台平面的共享终端可以是负载均衡的ip地址或者dns域名高可用集群时需要添加 –image-repository拉取镜像的镜像仓库默认是k8s.gcr.io –kubernetes-version指定kubernetes版本 –pod-network-cidrpod资源的网段需与pod网络插件的值设置一致。Flannel网络插件的默认为10.244.0.0/16Calico插件的默认值为192.168.0.0/16 –service-cidrservice资源的网段 –service-dns-domainservice全域名的后缀默认是cluster.local –token-ttl0默认token的有效期为24小时如果不想过期可以加上 --token-ttl0 这个参数 #方法二初始化后需要修改 kube-proxy 的 configmap开启 ipvs
kubectl edit cm kube-proxy -nkube-system#此处执行完会提示以下则我们需要进一步操作设定
The connection to the server localhost:8080 was refused - did you specify the right host or port?#设定kubectlkubectl需经由API server认证及授权后方能执行相应的管理操作kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。mkdir -p $HOME/.kube
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
#显示已存在
ll /root/.kube/
chown $(id -u):$(id -g) $HOME/.kube/config
#授权结束即可以查看生成的相关信息配置查看后即退出
vim /root/.kube/config #再次初始化就可看到相关信息并修改第44行修改mode: ipvs
[rootmaster01 ~]# kubectl edit cm kube-proxy -nkube-system[rootmaster01 ~]# kubectl get node
NAME STATUS ROLES AGE VERSION
master01 NotReady control-plane,master 49m v1.20.11
[rootmaster01 ~]# kubectl get cs
Warning: v1 ComponentStatus is deprecated in v1.19
NAME STATUS MESSAGE ERROR
scheduler Unhealthy Get http://127.0.0.1:10251/healthz: dial tcp 127.0.0.1:10251: connect: connection refused
controller-manager Unhealthy Get http://127.0.0.1:10252/healthz: dial tcp 127.0.0.1:10252: connect: connection refused
etcd-0 Healthy {health:true}
#如果 kubectl get cs 发现集群不健康更改以下两个文件
vim /etc/kubernetes/manifests/kube-scheduler.yaml
vim /etc/kubernetes/manifests/kube-controller-manager.yaml修改如下内容把--bind-address127.0.0.1变成--bind-address192.168.198.11 #行修改成k8s的控制节点master01的ip
把httpGet:字段下的hosts由127.0.0.1变成192.168.198.11有两处
#- --port0 # 搜索port0把这一行注释掉systemctl restart kubelet
systemctl enable kubelet#再次查看健康状态
kubectl get cs2部署网络插件flannel
node01操作
方法一此文使用的是此方法
#所有节点上传flannel镜像 flannel.tar 到 /opt 目录master节点上传 kube-flannel.yml 文件
cd /opt
scp kuadmin-flannel.zip node02:/opt/
#解压
unzip kuadmin-flannel.zip
#加载
docker load -i flannel-cni-v1.2.0.tar
docker load -i flannel-v0.22.2.tar
#创建并解压到相关目录
mv cni cni_bak
mkdir cni/bin -p
tar zxvf cni-plugins-linux-amd64-v1.2.0.tgz -C cni/bin
#查看新的文件
ll cni/bin/node02操作
cd /opt
unzip kuadmin-flannel.zip
docker load -i flannel-cni-v1.2.0.tar
docker load -i flannel-v0.22.2.tar
mv cni cni_bak
mkdir cni/bin -p
tar zxvf cni-plugins-linux-amd64-v1.2.0.tgz -C cni/bin
#查看新的文件
ll cni/bin/scp kube-flannel.yml master01:/opt/node01和node02节点操作
#执行 kubeadm join 命令加入群集
#复制master中执行过这个命令的kubeadm init \在node节点操作
kubeadm join 192.168.198.11:6443 --token 41u9qh.bku8bq9t8ibxejxs \--discovery-token-ca-cert-hash sha256:0f128acf6bec78b03810ea3f6cb5c0bb10da0adeb2bc8a1dcffe385a12bb3293 在master节点操作
#在master节点查看节点状态
kubectl get nodes#在 master 节点创建 flannel 资源
kubectl apply -f kube-flannel.yml #再次查看节点状态
kubectl get nodeskubectl get pods -n kube-system
kubectl get pods -n kube-flannel如执行kubectl get pods -n kube-flannel发现有不是running或者查看节点状态 kubectl get nodes出现NoReady 解决方法查看所有的机器防火墙等是否关闭 执行 删除再次生成 kubectl delete -f kube-flannel.yml kubectl apply -f kube-flannel.yml 执行后需等待可再次查看状态 kubectl get pods -n kube-flannel 3测试创建 pod 资源
在master节点操作
#创建 pod 资源创建
kubectl create deployment nginx --imagenginx
#查看创建的资源需等待
kubectl get pods -o wide#暴露端口提供服务
kubectl expose deployment nginx --port80 --typeNodePortkubectl get svc
或kubectl get servicecurl -I 10.244.1.15
curl -I 10.244.2.7#扩展3个副本
kubectl scale deployment nginx --replicas3
kubectl get pods -o wide二.创建两个自主式的Pod资源
要求在 Kubernetes 环境中通过yaml文件的方式创建2个Nginx Pod分别放置在两个不同的节点上Pod使用hostPath类型的存储卷挂载节点本地目录共享使用 /data2个Pod副本测试页面二者要不同以做区分测试页面可自己定义。
①空跑生成nginx的yaml模板文件
kubectl run mynginx --imagenginx:1.14 --port80 --dry-runclient -o yaml mynginx.yaml②进入模板修改
vim mynginx.yaml---apiVersion: v1kind: Podmetadata:labels:app: mcl-nginx #pod的标签name: mcl-nginx01spec:nodeName: node01 #指定该pod调度到node01节点containers:- image: nginx:1.14name: mynginxports:- containerPort: 80 #定义容器的端口volumeMounts: #挂载存储卷- name: page01 #名称需要与下方定义的存储卷的名称一致mountPath: /usr/share/nginx/html #容器中的挂载点设置为nginx服务的网页根目录readOnly: false #可读可写volumes: #定义一个存储卷- name: page01 #存储卷的名称hostPath: #存储卷的类型为 hostPath path: /data #node节点的共享目录type: DirectoryOrCreate #该类型表示如果共享目录不存在则系统会自动创建该目录---apiVersion: v1kind: Podmetadata:labels:app: mcl-nginx #pod的标签name: mcl-nginx02spec:nodeName: node02 #指定该pod调度到node02节点containers:- name: mynginximage: nginx:1.14ports:- containerPort: 80 #定义容器的端口volumeMounts: #挂载存储卷- name: page02 #名称需要与下方定义的存储卷的名称一致mountPath: /usr/share/nginx/html #容器中的挂载点readOnly: falsevolumes: #定义一个存储卷- name: page02 #存储卷的名称hostPath: #存储卷类型为 hostPathpath: /data #node节点的共享目录type: DirectoryOrCreate #该类型表示如果共享目录不存在则系统会自动创建该目录#使用yaml文件创建自主式Pod资源
kubectl apply -f mynginx.yaml#查看创建的两个pod被调度到了不同的node节点
kubectl get pods -owide③两个node节点的存储卷写入不同的html文件内容验证访问网页
#node01节点echo this is node01 /data/index.html
#node02节点echo this is node02 /data/index.html
#master节点curl 10.244.2.11 #访问Node01节点的Pod的IPcurl 10.244.1.17 #访问Node02节点的Pod的IP三.创建service资源
编写service对应的yaml文件使用NodePort类型和TCP 30000端口将Nginx服务发布出去。
①编写service对应的yaml文件
vim myservice.yamlapiVersion: v1
kind: Service
metadata: name: mcl-nginx-svcnamespace: default
spec:type: NodePort #service类型设置为NodePortports: - port: 80 #service使用的端口号ClusterIP后面跟的端口号。targetPort: 80 #需要转发到的后端Pod的端口号nodePort: 30000 #指定映射到物理机的端口号k8s集群外部可以使用nodeIP:nodePort访问serviceselector: app: mcl-nginx #标签选择器要和上一步创建的pod的标签保持一致#创建service资源
kubectl apply -f myservice.yaml②查看service资源
kubectl get svc#查看service资源的详细信息
kubectl describe svc yuji-nginx-svc ③测试使用nodeIP:nodePort访问nginx网页
curl 192.168.198.12:30000 #node01
curl 192.168.198.13:30000 #node02四、搭建负载均衡层
负载均衡区域配置KeepalivedNginx实现负载均衡高可用通过VIP 192.168.198.100和自定义的端口号即可访问K8S发布出来的服务。
1.两台负载均衡器配置nginxlb01、lb02
①配置准备
#关闭防火墙和selinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
sed -i s/enforcing/disabled/ /etc/selinux/config#设置主机名
hostnamectl set-hostname lb01
su
hostnamectl set-hostname lb02
su#配置nginx的官方在线yum源
cat /etc/yum.repos.d/nginx.repo EOF
[nginx]
namenginx repo
baseurlhttp://nginx.org/packages/centos/7/$basearch/
gpgcheck0
EOFyum install nginx -y#修改nginx配置文件配置四层反向代理负载均衡指定k8s群集2台node的节点ip和30000端口
vim /etc/nginx/nginx.conf
events {worker_connections 1024;
}#在http块上方添加stream块
stream {upstream k8s-nodes {server 192.168.198.12:30000; #node01IP:nodePortserver 192.168.198.13:30000; #node02IP:nodePort}server {listen 3344; #自定义监听端口proxy_pass k8s-nodes;}
}http {......#include /etc/nginx/conf.d/*.conf; #建议将这一行注释掉否则会同时加载/etc/nginx/conf.d/default.conf文件中的内容nginx会同时监听80端口。
}#检查配置文件语法是否正确
nginx -t #启动nginx服务查看到已监听3344端口
systemctl start nginx
systemctl enable nginx
netstat -natp | grep nginx2.两台负载均衡器配置keepalivedlb01、lb02
#安装keepalived服务
yum install keepalived -y#修改keepalived配置文件vim /etc/keepalived/keepalived.conf! Configuration File for keepalivedglobal_defs {# 接收邮件地址notification_email {acassenfirewall.locfailoverfirewall.locsysadminfirewall.loc}# 邮件发送地址notification_email_from Alexandre.Cassenfirewall.locsmtp_server 127.0.0.1 #修改为本机回环地址smtp_connect_timeout 30router_id LB01 #lb01节点的为LB01lb02节点的为LB02}#添加一个周期性执行的脚本vrrp_script check_nginx {script /etc/nginx/check_nginx.sh #指定检查nginx存活的脚本路径}vrrp_instance VI_1 {state MASTER #lb01节点的为 MASTERlb02节点的为 BACKUPinterface ens33 #指定网卡名称 ens33virtual_router_id 51 #指定组ID两个节点要一致priority 100 #设置优先级lb01节点设置为 100lb02节点设置为 90advert_int 1authentication {auth_type PASSauth_pass 1111}virtual_ipaddress {192.168.198.100 #指定VIP地址}}track_script { #追踪脚本check_nginx #指定vrrp_script配置的脚本}}#将配置文件中剩余的内容全都删除#主调度器lb01创建nginx状态检查脚本 vim /etc/nginx/check_nginx.sh#!/bin/bash#egrep -cv grep|$$ 用于过滤掉包含grep 或者 $$ 表示的当前Shell进程ID
count$(ps -ef | grep nginx | egrep -cv grep|$$)
if [ $count -eq 0 ];thensystemctl stop keepalived
fichmod x /etc/nginx/check_nginx.sh #为脚本增加执行权限#启动keepalived服务(一定要先启动了nginx服务再启动keepalived服务否则keepalived检测到nginx没有启动会杀死自己)
systemctl start keepalived
systemctl enable keepalived
ip addr #查看主节点的VIP是否生成#测试使用VIP:3344访问web网页
curl 192.168.198.100:33443.关闭主调度器的nginx服务模拟故障测试keepalived
#关闭主调度器lb01的Nginx服务模拟宕机观察VIP是否漂移到备节点
systemctl stop nginx
systemctl stop keepalived
systemctl status keepalived #此时keepalived被脚本杀掉了
ip addr #备节点查看是否生成了VIP
ip addr #此时VIP漂移到备节点lb02#恢复主节点
systemctl start nginx #先启动nginx
systemctl start keepalived #再启动keepalived
ip addr五、配置防火墙服务器test6
iptables防火墙服务器设置双网卡并且配置SNAT和DNAT转换实现外网客户端可以通过12.0.0.1访问内网的Web服务。提前新建一张网卡
内网网卡ens33192.168.198.16
外网网卡ens3712.0.0.1
1.两台负载均衡器将网关地址修改为防火墙服务器的内网IP地址lb01、lb02
vim /etc/sysconfig/network-scripts/ifcfg-ens33
GATEWAY192.168.198.16 #防火墙的内网本身IP地址systemctl restart network #重启网络
systemctl restart keepalived #如果VIP丢失需要重启一下keepalived2.配置防火墙服务器test6192.168.198.16
1关闭防火墙和selinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
sed -i s/enforcing/disabled/ /etc/selinux/config2配置客户端地址外网
#添加一个网络适配器ens37网络模式NAT默认即可
cp /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-ens37
vim /etc/sysconfig/network-scripts/ifcfg-ens37TYPEEthernet
PROXY_METHODnone
BROWSER_ONLYno
BOOTPROTOstatic
DEFROUTEyes
IPV4_FAILURE_FATALno
IPV6INITyes
IPV6_AUTOCONFyes
IPV6_DEFROUTEyes
IPV6_FAILURE_FATALno
IPV6_ADDR_GEN_MODEstable-privacy
NAMEens37
DEVICEens37
ONBOOTyes
IPADDR12.0.0.1
NETWASK255.255.255.0
#下面的网关和DNS注释systemctl restart network
#如果重启network报错可以将配置里面的UUID注释2开启路由转发功能
vim /etc/sysctl.conf
net.ipv4.ip_forward 1 //在文件中增加这一行开启路由转发功能sysctl -p //加载修改后的配置3配置iptables策略
#先将原有的规则清除
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X#设置SNAT服务解析源地址。修改nat表中的POSTROUTING链。
#将源地址192.168.198.100转换为为12.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.198.100/24 -j SNAT --to 12.0.0.1#-t nat //指定nat表#-A POSTROUTING //在POSTROUTING链中添加规则 #-s 192.168.160.100/24 //数据包的源地址#-o ens36 //出站网卡#-j SNAT --to 12.0.0.1 //使用SNAT服务将源地址转换成公网IP地址。#设置DNAT服务解析目的地址。修改nat表中的PRETROUTING链。
#将目的地址12.0.0.1:3344 转换成 192.168.198.100:3344
iptables -t nat -A PREROUTING -d 12.0.0.1 -p tcp --dport 3344 -j DNAT --to 192.168.198.100:3344
#-A PREROUTING //在PREROUTING链中添加规则
#-i ens36 //入站网卡
#-d 12.0.0.254 //数据包的目的地址
#-p tcp --dport 3344 //数据包的目的端口
#-j DNAT --to 192.168.198.100:3344 //使用DNAT功能将目的地址和端口转换成192.168.198.100:3344iptables -t nat -nL #查看策略Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 12.0.0.1 tcp dpt:3344 to:192.168.198.100:3344Chain INPUT (policy ACCEPT)
target prot opt source destination Chain OUTPUT (policy ACCEPT)
target prot opt source destination Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.198.0/24 0.0.0.0/0 to:12.0.0.1六.客户端机器配置test7
##客户端修改网关配置文件测试访问内网的Web服务
客户端IP地址12.0.0.12将网关地址设置为防火墙服务器的外网网卡地址12.0.0.1
浏览器输入 http://12.0.0.1:3344 进行访问systemctl stop firewalld
setenforce 0vim /etc/sysconfig/network-scripts/ifcfg-ens33systemctl restart networkcurl 12.0.0.1:3344http://12.0.0.1:3344/排错思路
搭建K8S和KeepalivedNginx后先试试互相是否通信如果通就是防火墙那台的策略等问题
防火墙配置中需要注意添加的那台网卡的地址是配置SNAT和DNAT转换实现外网客户端可以通过的地址在配置之前需要将防火墙地址在lb01、lb02上的网关设置
客户端配置网卡是指定的网址网关是配置SNAT和DNAT转换实现外网客户端可以通过的地址
