vault: update k8s DNS fix, node bypass OpenClash, ArgoCD restored

2026-03-15 21:45:14 +01:00
parent 4bb0d9394d
commit bdcc0dd265
3 changed files with 36 additions and 1 deletions
--- a/Areas/家庭网络基础设施.md
+++ b/Areas/家庭网络基础设施.md
@@ -149,7 +149,7 @@ iStoreOS / EasePi Pro (192.168.68.63) ← 主网关

 | 域名 | IP | 说明 |
 |------|-----|------|
-| `*.k8s.home` | 192.168.68.70 | Kubernetes 入口 |
+| `*.k8s.home` | 192.168.68.240 | Kubernetes Ingress (MetalLB) |
 | `nas.colacoder.com` | 192.168.68.70 | NAS |
 | `pve.colacoder.com` | 192.168.68.70 | PVE（通过 NPM 代理） |
 | `npm.colacoder.com` | 192.168.68.70 | Nginx Proxy Manager |
@@ -213,6 +213,19 @@ iStoreOS / EasePi Pro (192.168.68.63) ← 主网关
 | 443/tcp → NAS:443 | Nginx Proxy Manager | 端口映射 |
 | 51888/tcp → WG:51888 | WireGuard | 端口映射 |

+### K8s 节点绕过 OpenClash
+
+K8s 节点 DNS 使用 `8.8.8.8`（不经过 OpenClash fake-ip），流量通过 `SRC-IP-CIDR` 规则直连：
+
+| 节点 | IP | DNS | 网关 | OpenClash |
+|------|-----|-----|------|-----------|
+| k8s-cp1 | 192.168.68.11 | 8.8.8.8 | 192.168.68.63 | DIRECT（绕过） |
+| k8s-w1 | 192.168.68.21 | 8.8.8.8 | 192.168.68.63 | DIRECT（绕过） |
+| k8s-w2 | 192.168.68.22 | 8.8.8.8 | 192.168.68.63 | DIRECT（绕过） |
+
+> 原因：OpenClash fake-ip 对容器镜像仓库（quay.io、ecr.aws 等）返回假 IP，
+> K8s 节点无法通过 TUN 路由假 IP，导致 ImagePullBackOff。
+
 ### 待评估

 | 项目 | 说明 | 建议 |