挺好的

@fighterhit 小朋友，刚想起来，自己打隧道恐怕不行。
虽然打隧道可以让你的 edge 和 datacenter 之间形成整体内部路由环境，但是 k8s 需要二层进行容器流量互通，所以你打的隧道是三层互通，对于 k8s 需要使用 calicao 的 ipip 功能，有些复杂。
就像你说的，可以用 openyurt 或者 kubesphere 的 edge 等软件实现更好一些。

@fighterhit 可以加 qq 聊：1405903283

棒棒的

在现代操作系统中，dhcp 解析域名会同时进行 v4 和 v6 ，具体选用哪个地址访问是通过一个叫做前缀策略表的机制进行控制。

linux 系统文件是在/etc/gai.conf
label ::1/128 0
label ::/0 1
label 2002::/16 2
label ::/96 3
label ::ffff:0:0/96 4
precedence ::1/128 50
precedence ::/0 40
precedence 2002::/16 30
precedence ::/96 20
precedence ::ffff:0:0/96 100

windows 系统是在 netsh interface ipv6 show prefixpolicies
参考 https://ipw.cn/doc/ipv6/user/ipv4_ipv6_prefix_precedence.html

总体原则是：默认 v6 优先（如果你本地的 ipv6 地址除了 fe80 开头，还有别的公网 v6 地址，那就默认走 v6 了）
可以通过调整前缀策略表实现 v4 优先，或者具体的哪一个 v6 优先。

1. 想知道为什么第二种方式可以，但第一种不行，第一种到 apiserver 为什么会是 127.0.0.1 ？因为未来不允许从 B ssh 到 A ，第二种方式用不了该怎么访问 apiserver ？
答：
(1) 第二种是前向代理的方式，集群看到访问来源是数据中心内部
(2) 第一种，因为你是把 apiserver 接口映射到了本地，所以访问的是 127.0.0.1 ，而你的证书不包括 127.0.0.1 。这个问题仅仅是 ip 地址的问题。127.0.0.1 是本地环回接口，你可以在本地新建一个 lo 接口，地址是 10.xx.yy.1 或者 172.xx.yy.zz ，如下命令：
ifconfig lo:1 10.xx.yy.1 ，
ssh -R 6443:apiserver 内网 ip<换成 lo 口地址>:6443 -N B-user@B-ip -p B-port
(3) 修改.kube/config 文件为你的 lo:1 地址。
(4) 可以试试看了

2. 上述情况能访问 apiserver 后，kubeadm join 节点还加不进去，不确定 kubelet 配置文件是不是也要加 proxy-url: socks5 才行，是否可行？
答：
（ 1 ）不要考虑 socks5 的方式了，因为集群底层有集群网络，搞个代理还是分离的两个网络。
（ 2 ）如果仅仅是控制集群，可以使用代理。
（ 3 ）如果是边缘节点加入到数据中心集群，需要加入内网。

3. 这种公网节点加入内网集群，带宽流量大不大？
答：
（ 1 ）带宽不大，猜测 1Mbps 足够，但是会一直有，主要是集群控制流量和数据流量。

@fighterhit
1. wg or openvpn 等都可以，把边缘和数据中心搞成内网互通，好多事都好办了。
2. 如果想进一步安全，可以闲置 wg or openvpn 两边的白名单访问。

从国内直接连接国外的 strongwan 节点会有些许困难，包括延迟和防火墙策略，最好在华为云、ucloud 的香港节点部署一个中继点。

@lgs821 挺好的。
我做运维工作十多年了，积累了很多视频材料，包括自己录制的，还有文档等等。正好可以用 ifile 分享给我的朋友们。

或者，可以在 PC 端使用 wireshark 进行抓包分析定位问题。

根据目前的现象，从技术的角度分析，假设只能通过手机访问，那么尝试修改 PC 浏览器的 user agent
google chrome 插件：User Agent Switcher and Manager

我发现你在创建网桥的时候，没有指定网桥自己的 ip 地址（作为容器的网关）。只需要在命令后面加上就好了。
docker network create network_1 --driver bridge --subnet 192.168.33.0/24 --gateway=192.168.33.1

否则，你这个网桥就是干巴巴的一个交换机下面接了一个电脑，怎么着也上不了网。
本地测试通过。

哥们，你是不是也发现 exfat 通杀所有操作系统版本，linux 、mac 、windows 都可以读写。
我也是基于此，在刚买的 nvme+外壳作为移动硬盘使用。过了一段时间，居然发现 linux 下面可以读写，但是 windows 已经不识别了，提示格式化。

iptables -t nat -A POSTROUTING -o eth0 -s $ip_container_A -j SNAT --to-source $公网 ip_A
iptables -t nat -A POSTROUTING -o eth0 -s $ip_container_B -j SNAT --to-source $公网 ip_B

试试看，主要是加上出接口

jumpserver 搞掂~

挺有意思的内容。

ac + ap 方案较 mesh 好一些。

mesh 虽然很方便，但是效果确实不如 ac+ap 。推荐华三小贝品牌。

可能是中间的路由设备导致。具体说来，对于经过 NAT 上网的用户来说，每次出网通过路由器的时候，会产生一条 NAT Session 条目。该条目是有时间限制的，一段时间没有流量刷新定时器，会导致掉线。
解决办法：可以通过 shell 软件，例如 SecureCRT 、XShell 、FinalShell 等在登录中的发送 NOP 信息，例如每 30 秒一次，避免中断。