从外部 ssh 到 k8s 的 pod 里面

步骤比较多， 一时半会还讲不清楚， 不过你可以尝试搜索 calico bgp 关键字 应该会有很多资料的

- ssh 到跳板机
- 跳板机 authorized_key 里，配置 command
- 可以在这 command 里加 kubectl exec bash 命令，当然，大概需要做一个前置的 TUI 程序，让人选择想要进入的 pod 和 container

把集群的连接信息保存到本地.kube/config ，然后 kubectl exec -it <pod-name> /bin/sh

@kenvix 确实有这种需求😂
@HugeNature
之前我在公司搭的 jupyterhub 就有业务说想用 IDE 更方便，我就搞过一个小玩意作 ssh 转发。
整体逻辑是 pod 内都需要运行 sshd ，然后通过一个统一的服务进行认证，再将 ssh 的进行代理转发到指定 pod 。这个统一 服务用一个 nodeport 或者用 ingress 代理都行，可以参考下
https://github.com/LyleLaii/jupyterhub-ssh-proxy

@HugeNature 那你试试把 pod 设置为 host 模式吧
至于浮动 IP 你只能自己想办法了

calico bgp 配好就行，只是可能需要你们的网管配合开一下 bgp 配置

@defunct9 这不是 docker 命令么？

有现成工具 https://containerssh.io/v0.4/ ，缺点是 ssh 是通过 k8s api server 转发 kubectl exec 的，流量大的话可能会影响集群稳定性

如果只是临时的, 可以直接找个跳板, ssh -fNL, ssh -fNR

Tailscale 也行

我们的方案是，直接 k8s 跑个 wiregaurd 的 pod ，然后映射一个 udp 端口出去通过 vpn 连接到内部，有需要可以回复我，我发你方案

ingress-controller 修改 tcp-config 开放对应的端口直接映射到内部 pod 相关的 svc 的端口，如果还有负载均衡，那 lb 上开放 svc 对应的端口，应该就可以直通某个 pod 吧

干嘛非要 pod 里面做 server 端才行, 开一堆洞不好收拾烂摊子
把思路打开 反弹 shell 一样能搞定任务.
https://gist.github.com/yougg/b47f4910767a74fcfe1077d21568070e

看看这个? 用 kubectl 插件实现了一个 ssh ProxyCommand 的功能
https://github.com/ciiiii/kube-ProxyCommand
```
Host develop-container
HostName develop-container
User root
Port 22
IdentityFile /path/to/private/key
ProxyCommand kube-proxyCommand --name=podName --namespace=podNamespace --port=%p
```

可以参考一下 Coder ，用 Tailscale 实现 p2p 到 pod

> When possible, we establish direct connections between users and workspaces. Direct connections are as fast as connecting to the workspace outside of Coder. When NAT traversal fails, connections are relayed through the coder server. All user <-> workspace connections are end-to-end encrypted.

https://coder.com/docs/v2/latest/networking#networking

ingress-controller 支持添加 80 、443 以外的 tcp 和 udp 协议暴漏，可以试试

就必须得要拿 ssh 进吗？

如果不要其他特性，比如端口映射或者 scp ，感觉倒是可以自己写一个。

不太合理的的需求 请用不太合理的方式实现，管它是否安全，用了再说吧。

开个新的 ssh 用户，然后 chsh 修改登录直接 exec 到容器里面

https://ki.xabc.io 可以满足你的需求