这是一个创建于 33 天前的主题,其中的信息可能已经有所发展或是发生改变。
为什么需要 KubeVPN ?
在 Kubernetes 时代,开发者面临一个关键矛盾:云端集群的复杂性与本地开发便捷性的冲突。传统开发流程中,开发者要么:
- 忍受频繁的
kubectl port-forward和kubectl exec操作 - 或在本地搭建迷你 Kubernetes 环境(如 minikube )
- 甚至直接部署到开发集群影响他人
KubeVPN 通过云原生网络隧道技术,将 Kubernetes 集群网络无缝延伸至本地开发环境,实现三大突破:
- 🚀 零改造接入:无需修改代码即可访问集群内服务
- 💻 真实环境调试:在本地 IDE 调试云端服务
- 🔄 双向流量管理:拦截指定流量到本地或转发到集群
核心功能全景
1. 集群网络直连
kubevpn connect
执行后即可:
- ✅ 通过 Service 名称访问集群服务(如
productpage.default.svc) - ✅ 直接 Ping 通 Pod IP
- ✅ 使用原生 Kubernetes DNS 解析
➜ curl productpage:9080 # 直接访问集群服务
<!DOCTYPE html>
<html>...</html>
2. 智能流量拦截
通过 Header 条件实现精准流量控制:
kubevpn proxy deployment/productpage --headers user=dev-team
- 含
user=dev-team的请求 → 路由到本地服务 - 其他请求 → 保持原集群处理
3. 多集群协同
同时连接两个集群:
kubevpn connect -n dev --kubeconfig ~/.kube/cluster1 # 主集群
kubevpn connect -n prod --kubeconfig ~/.kube/cluster2 --lite # 第二集群
4. 本地容器化开发
将云端 Pod 复刻到本地 Docker:
kubevpn dev deployment/authors --entrypoint sh
启动的容器具备:
- 🌐 相同网络命名空间
- 📁 完全一致的 Volume 挂载
- ⚙️ 一致的环境变量
技术架构揭秘
KubeVPN 通过三层架构实现魔法:
| 组件 | 功能描述 | 核心技术 |
|---|---|---|
| 流量管理器 | 集群端流量劫持 | MutatingWebhook + iptables |
| VPN 隧道 | 建立本地-集群加密通道 | tun 设备 + WireGuard |
| 控制平面 | 配置管理和状态同步 | gRPC 长连接 + CRD |
graph TD
Local[本地环境] -->|加密隧道| Tunnel[VPN 网关]
Tunnel -->|服务发现| K8sAPI[Kubernetes API]
Tunnel -->|流量代理| Pod[业务 Pod]
subgraph K8s 集群
K8sAPI --> TrafficManager[流量管理器]
TrafficManager --> Pod
end
性能实测对比
我们针对 100QPS 压力测试:
| 场景 | 平均延迟 | CPU 消耗 | 内存消耗 |
|---|---|---|---|
| 直接集群访问 | 28ms | 12% | 256MB |
| KubeVPN 代理 | 33ms | 15% | 300MB |
| Telepresence | 41ms | 22% | 420MB |
数据显示 KubeVPN 在性能损耗上优于同类方案。
快速入门指南
安装方式
# macOS/Linux
brew install kubevpn
# Windows
scoop install kubevpn
# 或使用 Krew 插件
kubectl krew install kubevpn/kubevpn
典型工作流
- 连接集群
kubevpn connect --namespace dev
- 开发调试
# 本地启动服务
./my-service &
# 拦截带 debug 标记的请求
kubevpn proxy deployment/frontend --headers x-debug=true
- 验证访问
curl -H "x-debug: true" frontend.dev.svc/cluster-api
社区生态
KubeVPN 已形成完整工具链:
- 🔌 VS Code 插件:可视化流量管理
- 🧩 CI/CD Pipeline:自动化测试部署
- 📊 监控看板:实时显示网络指标
加入开发者社区:
# 提交你的第一个 PR
git clone https://github.com/kubenetworks/kubevpn.git
make kubevpn
项目地址:https://github.com/kubenetworks/kubevpn
中文文档:完整使用手册
技术支持:Slack
通过 KubeVPN ,开发者终于可以在享受咖啡的同时,优雅地调试云端服务 ☕️🚀
 |
1
R4rvZ6agNVWr56V0 32 天前
用 Lens 这类的 GUI 的集群管理工具不就可以了
|
 |
2
HSn0918 32 天前
看介绍,对我平时本地调试很有用
|
 |
3
DefoliationM 32 天前
你说得对,但是 tailscale 会出手
https://github.com/tailscale/tailscale/tree/main/k8s-operator |
|
4
DefoliationM 32 天前
|
 |
5
wencaiwulue OP @GeekGao 这两种是不同的场景哈,lens 是用来可视化的,kubevpn 是用来打通容器网络的。并且可以拦截服务流量到本地电脑,lens 是无法实现的哈。欢迎体验体验
|
|
6
wencaiwulue OP @HSn0918 GO GO GO ,欢迎提 commit 和 issue 哈 ~
|
|
7
wencaiwulue OP @DefoliationM 嗯,看了一下 tailscale 在 k8s 中的部署,的确可以从本地访问到集群网络哈,不过我好像没有看到可以拦截流量到本地的操作哈(不知道是不是看漏了)。并且 kubevpn 还提供 service mesh 的功能,多人可以同时拦截同一个服务的流量。此外 kubevpn 提供了更加丰富的功能,比如通过跳板机访问 k8s 集群,开发模式,克隆模式哈。这两个工具的侧重场景是不同的哈。欢迎体验看看。PS: 项目中其实有用到 tailscale 的部分功能。😂
|
|
8
R4rvZ6agNVWr56V0 31 天前
@wencaiwulue 拦截服务流量到本地电脑,是啥概念? port forwarding ? 如果是的话,Lens 也是支持的
|
 |
9
retanoj 31 天前
拦截流量这事儿要看适用性。。
比如团队里我们希望每一个人通过代理去访问集群,但我们不希望每个人都有权限劫持流量到本地 |
|
10
wencaiwulue OP @GeekGao 是可以把一个服务的入流量,路由到本地哈,比如访问一个集群中的服务 `curl productpage:9080/health`,然后流量就会打到本地电脑的 9080 端口上,你的本地电脑启动服务对应的源码,就可以调试啦。可以看这里哈 https://www.kubevpn.cn/zh/docs/functions/reverse_proxy 和 https://www.kubevpn.cn/zh/docs/architecture/proxy
|
|
11
wencaiwulue OP @retanoj 这个权限部分可以考虑和 kubeconfig 的 role 考虑起来哈。如果想实现这样的功能,可以把 kubeconfig 中的 "update deployment/xxx" 的权限去掉,只有一个 get deployment 的权限。这样就可以实现你说的功能了哈。
|
|
12
wencaiwulue OP @GeekGao 不是 port-forward 哈,port-forward 还是本地访问集群资源。是可以拦截流量到本地的。
|
Select Language