集群外部无法通过 NodePort 方式访问 Prometheus 的 Web UI

已于 2024-08-23 00:29:26 修改
阅读量441 收藏 4
点赞数 5
文章标签: prometheus 云原生 kubelet linux k8s
于 2024-08-20 10:22:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangment1/article/details/141349652
版权

在k8s中Prometheus 服务的 NodePort 已经正确配置,但集群外部无法通过 NodePort 方式访问 Prometheus 的 Web UI(集群使用了网络插件Calico)。

排查一:

在集群宿主机进行测试:

kubectl describe svc prometheus-k8s -n monitoring

从输出结果来看,服务 prometheus-k8s 已经正确配置了两个端口:一个是用于 Web 端口的 9090(NodePort 为 32148),另一个是用于重新加载 Web 端口的 8080(NodePort 为 31109);

然后执行:

curl -L http://<node-ip>:<nodeport>

成功获取了Prometheus Web UI 的 HTML 页面。这表明集群内部可以通过 NodePort 访问 Prometheus 的 Web UI,可以排除 Prometheus Pod 和 Service 的基本配置问题,因为集群内部可以成功访问;

排查二:

尝试从集群的另一个一个节点使用 curl 直接访问 NodePort 服务,显示连接超时;这说明有可能是集群主机上的防火墙规则未允许外部流量到达 Prometheus 的 NodePort,需要手动添加规则以允许 TCP 流量通过端口。

解决方案一:

我的主机节点之前就已经把防火墙(firewalld)关了,需要重新开启,然后在开放防火墙端口:

########################
# master节点防火墙设置
########################

# 所有master节点开放相关防火墙端口
$ firewall-cmd --zone=public --add-port=6443/tcp --permanent
$ firewall-cmd --zone=public --add-port=2379-2380/tcp --permanent
$ firewall-cmd --zone=public --add-port=10250/tcp --permanent
$ firewall-cmd --zone=public --add-port=10251/tcp --permanent
$ firewall-cmd --zone=public --add-port=10252/tcp --permanent
$ firewall-cmd --zone=public --add-port=30000-32767/tcp --permanent

# 所有master节点必须开启firewalld该设置,否则dns无法解释
$ firewall-cmd --add-masquerade --permanent
$ firewall-cmd --reload
$ firewall-cmd --list-all --zone=public

########################
# worker节点防火墙设置
########################

# 所有worker节点开放相关防火墙端口
$ firewall-cmd --zone=public --add-port=10250/tcp --permanent
$ firewall-cmd --zone=public --add-port=30000-32767/tcp --permanent

# 所有worker节点必须开启firewalld该设置,否则dns无法解释
$ firewall-cmd --add-masquerade --permanent
$ firewall-cmd --reload
$ firewall-cmd --list-all --zone=public

# 所有节点清除iptables规则,解决firewalld引起nodeport无法访问问题
$ iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited

测试端口连通性

完成防火墙规则的添加后,您可以使用 telnetnc(netcat)来测试端口的连通性。这里以 telnet 为例:

telnet 127.0.0.1 端口号
telnet 127.0.0.1 端口号

如果端口是开放的,您应该会看到类似下面的输出:

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
Connection closed by foreign host.

如果端口被拒绝连接,您会看到如下输出:

Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused


解决方案二:


不进行任何操作,当过段时间后,貌似又不能访问了,貌似是因为我将firewalld关闭了,然后就无法访问,但开启firewalld后似乎又可以访问了,询问通义千问后得到如下分析:

当关闭 firewalld 服务后,集群外部无法访问 Prometheus 的 Web UI,这可能是因为在默认情况下,即使 firewalld 被关闭,系统内核的防火墙规则仍然存在。这些规则可能会阻止特定端口的入站连接,从而导致从集群外部无法访问 Prometheus 的 Web UI。

分析问题

  1. 默认防火墙规则

    当 firewalld 关闭时,系统默认的防火墙规则仍然有效。这些规则可能会阻止某些端口的入站连接。

  2. iptables 配置

    当关闭 firewalld 时,CentOS 会恢复到默认的 iptables 配置,这意味着默认情况下会阻止未明确开放的端口。

  3. 定时任务或脚本

    过了一段时间后又无法访问,这可能是由于某些定时任务或脚本导致的。这些任务或脚本可能在后台运行,并修改了 iptables 规则或重新配置了防火墙。

解决方案

1.检查 cron 任务

可以检查是否有定时任务或脚本在后台运行,并修改了 iptables 规则或重新配置了防火墙。命令如下:

crontab -l
删除定时任务:

  1. 编辑 crontab 文件

    • 可以编辑 crontab 文件来删除上述定时任务。命令如下:
    crontab -e

  2. 删除定时任务

    • 在打开的 crontab 文件中找到定时任务的行,将其删除或注释掉。例如:
    # 5,15,25,35,45,55 * * * * /usr/sbin/iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited

  3. 保存并退出

    • 保存文件并退出编辑器。如果使用的是 vi 或 vim,可以使用 :wq 命令保存并退出。
2. 使用 iptables 管理防火墙规则

  1. 检查 iptables 规则

    • 可以检查当前的 iptables 规则来确认是否有阻止外部访问的规则。命令如下:
    sudo iptables -L -n -v

  2. 添加 iptables 规则

    • 如果找到了阻止外部访问的规则,您可以添加一条新的规则来允许外部访问端口 31654/tcp。命令如下:
    sudo iptables -A INPUT -p tcp --dport 31654 -j ACCEPT

  3. 保存 iptables 规则

    • 为了让规则在系统重启后依然有效,需要保存这些规则。命令如下:
    sudo iptables-save > /etc/sysconfig/iptables

  4. 重启 iptables 服务

    • 为了使更改生效,需要重启 iptables 服务。命令如下:
    sudo systemctl restart iptables
3. 关闭 iptables

如果希望完全禁用 iptables 并依赖于 Calico 提供的安全策略,则可以按照以下步骤操作:

  1. 删除 iptables 规则

    • 删除所有 iptables 规则。命令如下:
    sudo iptables -F
sudo iptables -X

  2. 验证 iptables 状态

    • 确认 iptables 已经没有任何规则。命令如下:
    sudo iptables -L -n -v

注意事项

  1. Calico 网络策略

    • 确认 Calico 是否正确配置了网络策略来允许外部访问集群内的服务。可以检查 Calico 的网络策略配置。

  2. 集群网络配置

    • 确认集群的网络配置是否允许从集群外部访问 NodePort 类型的服务。如果使用的是 Calico,请确保它支持从集群外部访问服务。

  3. 端口监听

    • 确认节点上是否监听了端口 31654。可以登录到节点并运行 netstat -an | grep 31654 来检查。

  4. 测试集群内部访问

    • 在集群内的一个 Pod 中运行以下命令来测试服务是否响应:
    kubectl run -it --rm --image=busybox curl-test -- /bin/sh -c "curl http://
------------------分割线
第二天发现还是不行,去b站搜了一下,在某prometheus教程下的评论区发现一位大佬的评论,说是prometheus的网络策略有问题,因为只接受来自​编辑prometheus自己的流量,要执行以下代码,然后又可以了:
kubectl -n monitoring delete networkpolicy --all
参考文章: 15.k8s集群防火墙配置_所有节点清除iptables规则,解决firewalld引起nodeport无法访问问题-CSDN博客
fragment~
关注
K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-08 1万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
云原生之深入解析Prometheus的安装部署和原理分析
╰つ栺尖篴夢ゞ
07-17 2083
Prometheus 最开始是由 SoundCloud 开发的开源监控告警系统,是 Google BorgMon 监控系统的开源版本。在 2016 年,Prometheus 加入 CNCF,成为继 Kubernetes 之后第二个被 CNCF 托管的项目。随着 Kubernetes 在容器编排领头羊地位的确立,Prometheus 也成为 Kubernetes 容器监控的标配。
设置service的nodeport以后外部无法访问对应的端口的问题
weixin_34268579的博客
04-13 2786
关于Service 设置NodePort 模式后导致外部无法访问对应的端口问题,查看下node节点上已经出现了30002端口的监听,确保服务器外部安全组等限制已经放行该端口,按照网上搜到的教程配置基本没看到要配置iptables相关的问题。 然后查阅了不少资料才看到docker 1.13 版本对iptables的规则进行了改动,默认FORWARD 链的规则为DROP ,带来的问题主要一旦DROP...
紧急!!k8s集群ClusterIp:NodePort无法外部访问!!!
ytbcc的博客
01-25 771
k8s集群ClusterIp:NodePort无法外部访问
基于Kube-Prometheus/v0.13.0的K8S监控部署
u010100623的博客
07-05 1049
有时候我们可能需要添加集群外部的一些监控,比如MySQL、Redis、Kafka等,我们可以新建一个 prometheus-additional.yaml 文件,配置scrape_configs来添加额外监控组件。(1)添加prometheus-additional.yaml文件,假设我们要添加MySQL和Redis的监控- targets:- targets:(2)然后我们需要将这些监控配置以secret资源类型存储到k8s集群中。
k8s service nodePort无法访问的问题
weixin_45958218的博客
11-11 5173
K8s集群中各节点无法访问问题
记一次k8s service设置nodeport访问外网失败案例
qq_45034687的博客
11-07 1459
今天有一个项目做service nodeport转发,结果设置完之后发现外网访问失败。curl: (7) Failed connect to 192.168.213.138:31234; Connection refused
K8s集群外部ElasticSearch集群监控实战
悦分享
10-01 965
当ServiceMonitor创建完成以后,对ElasticSearch集群的监控就完成了,此时可以通过访问PrometheusUI界面查看ElasticSearch是否成功注册到了Prometheus访问上述部署的Prometheus(上述部署的Prometheus的端口为30900),查看Target,如图所示。通过Prometheus添加监控以后,可以在PrometheusWeb 界面的Graph页面查看对应的业务数据,如查看上监控的ElasticSearch的监控数据,如下图所示。
Operator 部署Prometheus
最新发布
qianghong000的博客
07-10 929
该存储库收集 Kubernetes 清单、Grafana仪表板和Prometheus 规则以及文档和脚本,以使用 Prometheus Operator 通过Prometheus提供易于操作的端到端 Kubernetes 集群监控。 该项目的内容是用jsonnet编写的。该项目既可以被描述为一个包,也可以被描述为一个库。该软件包中包含的组件:该堆栈用于集群监控,因此它被预先配置为从所有 Kubernetes 组件收集指标。除此之外,它还提供一组默认的仪表板和警报规则。许多有用的仪表板和警报都来自kubern
搭建Prometheus监控k8s服务
Friendsofthewind的博客
12-02 1471
理论 提示:在这里部署的prometheus,是使用的coreos提供的prometheus项目 MetricsServer:是k8s集群资源使用情况的聚合器,收集数据给k8s集群内使用,如kubectl,hpa,scheduler等。 Prometheus Operator: 是一个系统检测和警报工具箱,用来存储监控数据。 Prometheus node-exporter:收集k8s集群资源的数据,指定告警规则。 Prometheus:收集apiserver,scheduler,controller-ma
kube-prometheus NodePort config
chufeichen0521的博客
06-21 540
环境版本 https://github.com/coreos/kube-prometheus/archive/v0.1.0.tar.gz 1. 默认设定安装完成后, 几个主服务的端口,未对外暴露, 只能在localhost访问。 可能是从安全上考虑,才有此策略。 在测试系统中,可酌情使用N...
Kubernetes1.22 安装 prometheus 及自定义暴露指标 grafana
weixin_39873598的博客
09-27 808
Kubernetes1.22 安装 prometheus 及自定义暴露指标 grafana
prometheus监控k8s集群
这是一个将要崛起小达人
08-03 1128
k8s监控
解决k8s 外网无法访问nodePort问题
Buynow_Zhao的博客
05-15 9203
iptables -P FORWARD ACCEPT
K8sNodePort LoadBalancer和Ingress的区别
热门推荐
等风来也chen
10-24 1万+
ClusterIP ClusterIP服务是k8s默认的服务。给你一个集群内的服务,集群内的其他应用都可以访问该服务,集群外部无法访问它。 ClusterIP服务的yaml文件类似如下: apiVersion: v1 kind: Service metadata: name: my-internal-service selector: app: my-app spec: t...
k8s nodePort外网访问不通
RayPick的博客
06-11 4013
刚学k8s,这可能在老手眼里是个弱智问题,不过事情总是要一步步做的嘛。 先描述一下我的环境以及碰到的问题: 一个mater节点,两个node节点。我部署了一个应用,副本数是3个,所以有3个pod。问题就是我用postman去访问的时候(master节点ip:映射出来的port/xxxxxxxxxxxxx),访问不通,本地telnet的时候无响应。 但是我进到各个节点执行以下命令查看日志后,确定服务是起来了没问题的 $ kubectl logs pod名称 然后查看服务的service,发现了问题所在
Prometheus详解(三)——Prometheus安装部署
永远是少年
05-13 4265
今天继续给大家介绍Linux运维相关知识,本文主要内容是Prometheus安装部署。 一、NFS、PV和PVC相关配置 二、Prometheus ConfigMap创建 三、Prometheus rbac认证设置 四、Prometheus Deployment部署 五、Prometheus Service设置 六、效果检验
Prometheus node_exporter无法访问浏览器
05-26
如果您无法通过浏览器访问Prometheus node_exporter,则可能有以下原因: 1. 防火墙阻止访问:检查您的防火墙设置是否允许访问Prometheus node_exporter端口,默认情况下,Prometheus node_exporter监听的端口为9100。 2. 端口冲突:检查是否有其他进程正在占用9100端口。可以使用命令"lsof -i:9100"来查看是否有进程占用了该端口。 3. 配置错误:检查Prometheus node_exporter的配置文件是否正确配置了监听端口和网络接口。 如果以上方法都无法解决问题,您可以尝试在命令行中启动Prometheus node_exporter,并查看是否有任何错误消息输出。例如,在Linux系统中,可以使用以下命令启动Prometheus node_exporter: ./node_exporter --web.listen-address=:9100 如果启动成功,则可以通过浏览器访问"http://localhost:9100/metrics"来查看Prometheus node_exporter的指标数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值