现在虽然部署好了博客，但是尚未暴露到公网。以前是用路由器配合Cloudflare DDNS脚本把网站流量直接指向自己家里，之前看到Cloudflare Tunnel可以拿来做内网穿透式的服务暴露，便想到了可以在K8s中直接部署这个隧道。
其实Cloudflare自己也有一个文档指引用户将Cloudflared（Cloudflare Tunnel的客户端）部署到K8s中。

部署

我的主流机是Windows，需要先在Windows中安装Cloudflared进行管理。

winget install --id Cloudflare.cloudflared

然后创建隧道

cloudflared tunnel create example-tunnel

将隧道的信息以密钥形式保存到k8s

kubectl create secret generic tunnel-credentials --from-file=credentials.json=/Users/cf000197/.cloudflared/ef824aef-7557-4b41-a398-4684585177ad.json

将隧道与 DNS 记录关联

1. 转到 Cloudflare 仪表板。
2. 转到 DNS 选项卡。
3. 现在创建一个 CNAME 目标。在此示例中，隧道 ID 为 ef824aef-7557-4b41-a398-4684585177ad，因此请创建专门针对 的 CNAME 记录。.cfargotunnel.com`ef824aef-7557-4b41-a398-4684585177ad.cfargotunnel.com`

如果需要，您还可以针对同一隧道创建多个 CNAME 记录。

或者，您也可以从命令行运行 来执行此步骤。例如。使用类似的方法将流量路由到对应的域名。

cloudflared tunnel route dns <tunnel> <hostname>

部署 cloudflared

Cloudflare 收到您在上一步中配置的 DNS 或负载均衡主机名的流量时，它会将该流量发送到在此部署中运行的实例。然后，这些实例会将请求代理到您的cloudflared，最后发送到你的pod。需要修改部分Yaml清单文件。

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: cloudflared
spec:
  selector:
    matchLabels:
      app: cloudflared
  replicas: 2
  template:
    metadata:
      labels:
        app: cloudflared
    spec:
      containers:
      - name: cloudflared
        image: cloudflare/cloudflared:2022.3.0
        args:
        - tunnel
        - --config
        - /etc/cloudflared/config/config.yaml
        - run
        livenessProbe:
          httpGet:
            path: /ready
            port: 2000
          failureThreshold: 1
          initialDelaySeconds: 10
          periodSeconds: 10
        volumeMounts:
        - name: config
          mountPath: /etc/cloudflared/config
          readOnly: true
        - name: creds
          mountPath: /etc/cloudflared/creds
          readOnly: true
      volumes:
      - name: creds
        secret:
          secretName: tunnel-credentials
      - name: config
        configMap:
          name: cloudflared
          items:
          - key: config.yaml
            path: config.yaml
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: cloudflared
data:
  config.yaml: |
    tunnel: example-tunnel
    credentials-file: /etc/cloudflared/creds/credentials.json
    metrics: 0.0.0.0:2000
    no-autoupdate: true
    ingress:
    - hostname: tunnel.example.com
      service: http://web-service:80
    - service: http_status:404

讲解一下重点需要修改的内容

• volumes下的creds：将tunnel-credentials修改为你储存json时候设定的名字。
• ConfigMap中config.yaml里面的tunnel：设定为你创建的隧道名字
• ConfigMap中的ingress：hostname设定为你外网访问的域名，service设定为你的service地址，具体的service可以使用kubectl get svc获取。

最后应用这个Cloudflared清单。

kubectl apply -f cloudflared.yaml

等待部署完毕后，应该就可以直接从公网访问你设定的地址了。