记一次K8S网络问题排查过程,kube-proxy的ipvs模式转发失败,修改iptables模式

已于 2022-06-20 10:32:43 修改
阅读量5.7k 收藏 12
点赞数 1
分类专栏: 云原生记录系列 文章标签: kubernetes 云原生
于 2022-06-18 17:02:31 首次发布
原创文章版权所有,转载请注明出处。
本文链接:https://blog.csdn.net/ma726518972/article/details/125345824
版权

问题描述:

两个节点的k8s集群环境,master 和 node

在添加calico服务的时候,master节点正常,node节点上的calico的pod一直异常,10.233.64.1:443 timeout,启动不起来。 

问题分析:

calico-node服务需要连接Master节点的kube-apiserver服务,由于网络不通导致连接失败,服务也就启动失败,问题转化成K8S网络问题排查。

解决方案:

查看日志如下:

# kubectl logs -f  calico-node-jv2qv -n kube-system 
2022-06-18 04:55:45.609 [INFO][9] startup/startup.go 396: Early log level set to info
2022-06-18 04:55:45.609 [INFO][9] startup/utils.go 126: Using NODENAME environment for node name node1
2022-06-18 04:55:45.609 [INFO][9] startup/utils.go 138: Determined node name: node1
2022-06-18 04:55:45.609 [INFO][9] startup/startup.go 98: Starting node node1 with version v3.20.0
2022-06-18 04:55:45.611 [INFO][9] startup/startup.go 401: Checking datastore connection
2022-06-18 04:56:15.613 [INFO][9] startup/startup.go 416: Hit error connecting to datastore - retry error=Get "https://10.233.64.1:443/api/v1/nodes/foo": dial tcp 10.233.64.1:443: i/o timeout

其中10.233.64.1是一个clusterIP

# kubectl get svc
NAME         TYPE        CLUSTER-IP    EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.233.64.1   <none>        443/TCP   45h

进入node节点上,进行telnet命令。结果是,可以ping通,telnet端口不通。 

继续查看IPVS的转发规则

# ipvsadm -Ln
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  10.233.64.1:443 rr
  -> 180.64.10.127:6443           Masq    1      2          0         
TCP  10.233.64.3:53 rr
TCP  10.233.64.3:9153 rr
UDP  10.233.64.3:53 rr

可以看到10.233.64.1:443 通过 rr轮询 转发到180.64.10.127:6443(这是master节点的apiserver)

尝试一下直接telnet 180.64.10.127 6443,

发现这个端口是通的,那就说明,node之间的网络是没问题的。

那问题不会不会是IPVS在转发的时候有问题呢?

查看一下IPVS连接状态

# ipvsadm -lnc
IPVS connection entries
pro expire state       source             virtual            destination
TCP 00:51  SYN_RECV    10.233.64.1:35336  10.233.64.1:443    180.64.10.127:6443

结果是 state状态是SYS_RECV

熟悉TCP连接的都知道,TCP需要三次握手建立连接

kubectl edit cm kube-proxy -n kube-system

mode: ipvs 修改为 mode:""

然后删除pod,重启kube-proxy(这里最好把主机都重启一下,不然IPVS规则还存在主机上)

重启后,查看服务,全部RUNING了。

然后对ClusterIP进行测试,ping是不通,telnet是通的。

那这里为什么会PING不通呢?

其实ClusterIP本身就是

kube-proxy有一个dummy虚拟网卡,当启用ipvs的模式,会创建个kube-ipvs0,然后把所有的Service Cluster IP添加到kube-ipvs0中,如下 :

 就相当于这些IP在你的主机上是存在的,当你去访问的时候,会根据ipvs规则转发到对应的服务上。相反,如果使用iptables模式的话,是没有这些ip的,也就不能ping通,但是iptables的规则是有的,可以通过clusterIP去访问到服务。

问题总结:

本次出现的问题是因为节点中容器连接k8s的clusterIP失败,然后了解一下访问过程,每个过程进行排查,找出是IPVS的问题,最后改换成Iptables解决了问题。但IPVS出了什么问题还没有搞明白,等哪天查出原因,会在下面继续更新。

看到这里就点个赞吧,也可以加个关注,后续会继续分享更多云原生相关技术文档!

安逸的程序猿
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
k8s.gcr.io/kube-proxy
11-15
k8s.gcr.io/kube-proxy
k8s的部署以及开启ipvs
王佳宇的个人博客
02-27 5494
准备工作:https://blog.csdn.net/weixin_40165163/article/details/104526461 当centos的环境准备好后,就可以开始部署k8s了 首先设置k8s下载源 cat <<EOF > /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes bas...
常见的 Kubernetes 错误问题处理
m0_55877125的博客
04-09 543
k8s错误汇总
Kubernetes集群如何用Ipvs替换Iptables
最新发布
wjianwei666的专栏
03-02 648
性能不同 在高负载的情况下,ipvs 模式下的 kube-proxy 性能更好,因为它对网络的负载均衡处理是基于内核层面的,更加高效。在 Kubernetes 系统中,kubeadm 管理工具将默认选择 ipvs 模式来处理 kube-proxy,同时 Kubernetes 还提供了多种异常处理机制,如自动拉起、Rollback、故障转移等,以确保系统的可靠性、高可用性和容错性,从而避免了 iptables 处理过程中可能出现的问题,并且改善了整个系统在故障处理和容错性方面的性能。
kube-proxy:kube-proxy组件配置
05-15
库贝代理 即将推出! 实现 它提供 提供用于配置kube-proxy的版本化API。 兼容性 此仓库的HEAD将与k8s.io/apiserver、k8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? 从同步kube-proxy 。 在该位置进行代码更改,合并到k8s.io/kubernetes ,然后在此处同步。
kube-proxy-temp-1.16.8.yaml
10-09
aws-kube-proxy1.16.8版本示例文件
[kubernetes]Calico运行异常:dial tcp 10.96.0.1:443: connect: connection refused
热门推荐
dingpwen的博客
04-27 1万+
安装calico网络插件之后,发现相关pod一直不能进入Ready状态,查看log,出现如下问题: Hit error connecting to datastore - retry error=Get “https://10.96.0.1:443/api/v1/nodes/foo”: dial tcp 10.96.0.1:443: connect: connection refused 网上查资料都说是什么iptables配置的问题,各种尝试,发现完全不对。于是打算从根源了解这个东西。 那么这个10.
grpc系列2-针对k8s vip超时设置,自定义服务端和客户端镜像和配置ipvs超时时间
qq_15821487的博客
07-19 947
默认情况下容器中的root用户只是host主机的一个普通用户,但如果dockerrun--privileged=true就真正的给这个普通用户赋予了和host主机root用户的特权。docker--privileged=true参数作用大约在0.6版,privileged被引入docker。使用该参数,container内的root拥有真正的root权限。否则,container内的root只是外部的一个普通用户权限。5.7.6成功运行命令。.................................
【大数据】kubernetes(k8s)calico跨节点网络不通的问题及排错过程
如切如磋,如琢如磨,臻于至善。
02-11 4607
kubernetes在使用过程中,网络插件calico问题
K8s常见故障排查及解决方案
bacawa的博客
02-20 3608
K8s常见故障排查及解决方案
kube-proxy_v1.15.3.tar
09-20
k8s.gcr.io/kube-proxy:v1.15.3镜像tar包,使用 docker load --input kube-proxy_v1.15.3.tar进行导入
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetesk8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
Kubernetes K8SIPVS代理模式下Service服务的ClusterIP类型访问失败处理
还想做MAD
12-28 201
Kubernetes K8S使用IPVS代理模式,当Service的类型为ClusterIP时,如何处理访问service却不能访问后端pod的情况。
浅析 Kubernetes Kube-Proxy 组件 IPVS 模式工作原理及常用故障排查指南
easylife206的专栏
11-04 472
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !❝本文转自 Yoaz 的博客,原文:https://lqingcloud.cn/post/kube-proxy-02/,版权归原作者所有。在 iptables 工作模式下,iptablesKUBE-SEP-XXX 链上规则和 Pod 数量成正比,当集群规模增大(10000 个 Pod 以上)时每个 k8s 节...
kubernetes1.20版本启用ipvs模式
blues的博客
06-03 1764
在1.19版本之前,kubeadm部署方式启用ipvs模式时,初始化配置文件需要添加以下内容: --- apiVersion: kubeproxy.config.k8s.io/v1alpha1 kind: KubeProxyConfiguration featureGates: SupportIPVSProxyMode: true mode: ipvs 本次在1.20.2版本中,使用kubeadm进行集群初始化时,虽然可以正常部署,但是查看pod情况的时候可以看到kube-proxy无...
kubernetes 两个 node 的pod 无法互相访问_Kubernetes项目实战 十问十答
weixin_39576104的博客
11-21 917
Kubernetes简介Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署、规划、更新、维护的一种机制。通常,把Kubernetes看作Docker的上层架构,Kubernetes以Docker为基础打造了一个云计算时代的全新分布式系统架构。Kubernetes架构中不仅仅只支持...
k8s&&ipvs&&nodeport&&syn_recv&&connection timed out&&Retransmission
dfq737211338的博客
08-01 154
k8s集群中,使用ipvs模式,对service对象暴露的nodePort端口执行curl命令或telnet命令时,有时通,有时不通。
worker节点calico无法启动定位分析
云淡风轻
12-04 3071
问题现象 worker节点部署的calico-node 无法拉起,反复启动,日志信息如下 kubectl logs -f calico-node-hv4sf -nkube-system 2020-12-02 13:20:13.067 [INFO][8] startup.go 259: Early log level set to info 2020-12-02 13:20:13.067 [INFO][8] startup.go 275: Using NODENAME environment for no
kube-proxyipvs负载有何区别
03-31
kube-proxyipvs都是Kubernetes集群中用于负载均衡的组件,但它们有以下区别: 1. 实现方式不同:kube-proxy是一个基于iptables的代理,而ipvs则是一个基于内核的负载均衡器。 2. 性能表现不同:ipvs相对于kube-proxy在性能上更高效,因为它是基于内核实现的,可以利用内核的高性能进行负载均衡。 3. 支持的协议不同:kube-proxy可以支持TCP和UDP协议,而ipvs支持更多的协议,包括TCP、UDP、SCTP等。 4. 配置方式不同:kube-proxy的配置是通过kubeconfig文件或命令行参数进行的,而ipvs的配置是通过修改内核参数或使用ipvsadm工具进行的。 5. 支持的负载均衡算法不同:kube-proxy支持的负载均衡算法有RoundRobin、Random和SessionAffinity,而ipvs支持的算法包括RR、WRR、LC、WLC、DH、SH等。 综上所述,ipvs相对于kube-proxy在性能和功能上更加强大,但配置和使用也更为复杂。在实际应用中,需要根据具体情况进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安逸的程序猿

意思不意思那是你的意思我没意思

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值