bobz965
commented
1 year ago ssl vpn gw
文档中有一个vpn客户端 via 服务端访问223.5.5.5 的抓包图缺失,补充:
2. k8s run SSL VPN server
[基于 helm 部署 openvpn server](https://artifacthub.io/packages/helm/cloudposse/openvpn)
[个人测试 helm 部署 openvpn server](https://github.com/bobz965/charts/tree/openvpn),该个人项目参考[该博客](https://levelup.gitconnected.com/setup-openvpn-access-server-on-kubernetes-bdc35ca6b6c5)修改了部分安全相关配置
部署结果:
- configmap: 包含4个脚本: configure.sh, newClientCert.sh, setup-certs.sh, openvpn.conf
- secret: 包含4个文件: server.key, ca.crt, server.crt, dh.pem
- deployment: 基于configmap和secret中的脚本,配置,证书启动 openvpn
- svc: 用于基于lb svc通过该vpn访问整个k8s集群,deployment支持多副本,则可支持高可用(可选)
- pvc: 如果不基于secret,也可以基于pvc保证openvpn重启后能够恢复(可选)。
3. kube-ovn run SSL VPN server
我们这边打算在nat-gw中引入一个openvpn server 容器,类似nat-gw 容器。设计如下:
- 引入一个 ssl-vpn-gw crd用于维护openvpn server 进程的启动与关闭
- helm configmap中的脚本可以直接放到openvpn镜像中,配置可以维护为jinja2模板,脚本,配置依赖的参数变量从ssl-vpn-gw-crd中获取
- 基于k8s Secret 维护 server.key, ca.crt, server.crt, dh.pem, 为了方便维护 server.key, ca.crt, server.crt, 会考虑基于cert-manager certificates来维护
- 客户端的openvpn配置可以基于exec nat-gw pod openvpn 执行命令来获取
- 绑定fip支持公网使用,这里暂不考虑直接将net1的eip直接绑定给eth0的ip。这个操作在fip的crd设计上做不到。
Feature request
trying to implement vpn gw in kube-ovn
Use case
vpn gw including:
I'm trying to make it happen, any suggestion will be appreciated!!!