calico跨主机node访问pod问题

最新推荐文章于 2024-07-26 17:04:01 发布
最新推荐文章于 2024-07-26 17:04:01 发布
阅读量4.9k 收藏 2
点赞数 1
分类专栏: calico 文章标签: kubernetes calico 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ptmozhu/article/details/53740988
版权
在Kubernetes环境中,使用Calico作为网络插件时,当命名空间应用了默认拒绝的网络策略,跨主机节点访问Pod的流量在FORWARD链中被DROP。问题源于Calico创建的特定链,阻止了非Pod的流量。通过为默认命名空间的Profile添加允许特定CIDR的规则,并删除导致问题的链,可以解决这个问题。手动删除特定的Felix链后,跨主机节点到Pod的通信恢复正常。
摘要由CSDN通过智能技术生成

实验环境:calico版本:v0.23,kubernetes版本:1.35

kubernetes网络使用calico,当namespace使用以下命令配置隔离policy的后:


kubectl annotate ns <namespace> "net.beta.kubernetes.io/network-policy={\"ingress\": {\"isolation\": \"DefaultDeny\"}}"


问题:跨主机node访问pod被隔离了。但是kubernetes中外网访问service需要node节点可以访问所有pod。


通过分析calico创建的iptables,node跨主机访问pod进过FORWARD链的时候被drop掉了。创建namespace的时候,calico默认会创建felix-p-_e9d3a9f50c6dd3a-i  felix-p-k8s_ns.net1-sub1-i 这两条链,第一条链会把非pod的流量给drop掉。

最低0.47元/天 解锁文章
ptmozhu
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s 中主机 Pod 之间是如何通信的(CNI 使用 Calico)?
山河已无恙
04-08 759
被问到这个问题,整理相关笔记博文内容涉及:K8s 中 Pod 之间是如何通信的简单介绍,报文路径解析&&veth pair简单介绍理解 节点 Pod 通信,需要理解和veth pair没接触的小伙伴可以先看这两部分。理解不足小伙伴帮忙指正中国式催婚:爱不爱不重要,重要的是把婚结了。过的幸不幸福不重要,重要的是把婚结了。有钱没钱不重要,重要的是把婚结了。父母催你结婚的意义在于,你只要成家了,他们作父母的责任就尽完了。(余华)
一次calico节点POD网络不通的解决方法
weixin_34107955的博客
04-15 8779
2019独角兽企业重金招聘Python工程师标准>>> ...
calico 打通研发电脑到POD访问
vdon168的博客
06-27 703
k8s calico BGP router reflector 配置,以及打通 产研PC到pod,方便pod应用调试工作。
calico启动pod失败原因
hclhcl12的博客
04-10 1248
启动calicocalico-XXXX的pod,利用deployment的pod控制器创建3副本,但是由于特殊原因,需要改为1个副本,在创建的过程中如图: 如果:有两个pod出现了pending的状态,并且并没有分配节点 这是因为没有修改yaml文件 将replicas数量更改为1后,成功解决问题 ...
Kubernetes故障篇:calico/node is not ready: BIRD is not ready
最新发布
weiye2012的博客
07-26 458
解决方案:调整calicao网络插件的网卡发现机制,修改IP_AUTODETECTION_METHOD对应的value值。官方提供的yaml文件中,ip识别策略(IPDETECTMETHOD)没有配置,即默认为first-found,这导致一个网络异常的ip作为nodeIP被注册,从而影响node-to-node mesh。我们可以修改成can-reach或者interface的策略,尝试连接某一个Ready的node的IP,以此选择出正确的IP。
kubeadm安装kubernetes pod ip无法访问
q1009020096的博客
08-15 2621
问题 通过 kubeadm v1.14.0 版本安装kubernetes 并 通过容器的方式启动calico 也就是使用 calico.yaml 版本: v3.1.3 安装完成,并加入各个节点测试后发现 在各台Node上 都无法ping通pod IP 解决方案 在calico.yaml文件中的calico-node部分加入环境变量IP_AUTODETECTION_METHOD,并设置值为:ca...
虚拟机中k8s calico网络不通
kkkwant2050的博客
11-28 1725
k8s pod 主机pind pod 不通 一 改calico.yaml # 增加定位 - name: IP_AUTODETECTION_METHOD value: can-reach=192.168.31.168 #master节点内网ip - name: IP value: "autodetect" #取消注释,10.100.0.1/16为pod的网段 name: CALICO_IPV4POOL_CIDR value: "10.100.0.1/16" #延时改长 livenessPr
12张图带你轻松了解 calico 6种场景下宿主机pod互访的iptables规则链流转情况【下】
weixin_42072280的博客
01-19 2200
master iptables filter表 [root@master files]# iptables -nvL --line-numbers Chain INPUT (policy ACCEPT 931 packets, 158K bytes) num pkts bytes target prot opt in out source destination 1 16M 3067M cali-INPUT all -- *
企业运维实战--k8s学习笔记4.k8s网络通信、Flannel vxlan模式简介、calico网络插件替换、网络策略范例总结
Rabbit_hyl的博客
07-28 597
企业运维实战--k8s学习笔记4.k8s网络通信、Flannel vxlan模式简介、calico网络插件替换、网络策略范例编写一、k8s网络通信简介(重点)二、Flannel vxlan模式简介Flannel vxlan模式主机通信原理简介DR模式实现三、calico网络插件替换flannel四、calico支持的网络策略-类似访问控制 一、k8s网络通信简介(重点) k8s是通过CNI接口接入插件来实现网络通讯的。目前较为流行的插件有flannel、calico等。 插件存放位置在/etc/cni/
kubernetes 两个 nodepod 无法互相访问_Kubernetes提示:在无法访问节点上运行的Pod发生什么?...
weixin_39910043的博客
11-21 662
由于各种原因,工作节点与主节点断开连接是很常见的。 在这种情况下,我们需要回答很多问题,例如,主节点是否删除在不可达节点上运行的Pod?,Kubernetes控制器的行为如何?,Pod是否继续在工作节点上运行? 简而言之,我们正在寻找的是当节点变得不可访问时,Kubernetes系统的行为如何?定义:在Kubernetes中,不可达节点被称为分区节点。为了了解操作方法,让我们创建一个分区节点方案并...
k8s 使用 calico 作为 CNI ,calico-node 启动失败
月光游侠
10-29 9883
1 问题描述 k8s 集群,使用 calico 作为 CNI,calico 的安装配置参考 https://docs.projectcalico.org/getting-started/kubernetes/hardway/overview。 calico 需要 k8s 运行 calico-node 的 daemonset 在每个node 上运行一个 calico-nodecalico-node 里面包括了Felix,BIRD,confd组件。calico-nodenode网络能够正常使用的必要
K8s集群node节点异常处理(Calico)
漠效的博客
03-19 7351
前言 近期在测试环境k8s集群发现Calico节点出现了异常,状态一直处于连接中,而且node节点的ip也出现了变化。 于是对此次处理过程进行记录。这个异常不具备普遍性,因此文档仅供参考。 发现在Calico 异常node节点上,出现了大量的br开头的以及一些其他的虚拟网卡和虚拟ip. 应该是这些ip导致的。由于具体排查和处理需要大量的时间,为了不影响服务,先把异常节点下线。 备注: 可查看异常pod日志,再处理问题 kubectl logs calico-node-f846j -
k8s骚操作 Pod服务通过IP对外访问&k8s指定IP创建Pod
csdn1115698735的博客
09-07 1万+
k8s Pod服务通过IP对外访问 前言 k8s v1.14.2版本提供了5种访问Pod的方式(hostNetwork,hostPort,NodePort,LoadBalancer和Ingress),但都不符合通过PodIp直接访问容器的需求,这边的需求是直接访问Pod的Ip,并指定Ip创建Pod 外部访问逻辑 指定k8s生成PodIp范围关闭calico默认隧道模式(IPIP),添加路由器路由(...
kubernetes 两个 nodepod 无法互相访问_Kubernetes 网络模型
weixin_39713814的博客
11-21 639
Kubernetes 网络模型设计基础原则kubernetes 网络模型设计的一个基础原则是:每个 Pod 都拥有一个独立的 IP 地址,并假定所有的 Pod 都在一个可以直接连通的、扁平的网络空间中。所以不管他们是否运行在同一个 node 节点上,都要求他们直接可以通过对方的 IP 进行访问。设计此方式通信的原则是为了用户使用时不需要额外考虑如何建立 Pod 之间的连接, 也不需要考虑如何将容器...
kubernetes calico网络不通的排查思路
热门推荐
纵横四海的博客
03-11 1万+
网络不通通俗一点就是报文不可达 在这里就不多说了 举个例子 容器A访问不了容器B,也就是容器A ping 不通容器B 排查思路: 正向 1 容器A的内容是否发送到容器A所在的node上 2 容器A所在的节点node是否发送出去 3 容器B所在的节点node是否接收到容器A所在的节点node发送的报文 4 容器B所在的节点node是否把报文发送到容器B中 反向 1 容器B的内容...
Kubernetes Pod 外部访问
思月行云
01-11 3054
https://blog.csdn.net/u013061106/article/details/79748511 从外部访问Kubernetes中的Pod 你需要知道的访问Pod的5种方式 前面几节讲到如何访问kubneretes集群,本文主要讲解访问kubenretes中的Pod和Serivce的集中方式,包括如下几种: hostNetwork hostPort NodePort ...
记一次k8s的calico节点网络不通的问题及排错过程和解决方法
Explore
11-06 1万+
集群内布有四个节点节点名称 主机IP km1 192.168.1.1 kn1 192.168.1.2 kn2 192.168.1.3 kn3 192.168.1.4 网络不通的表征:进入节点km1的pod,ping kn1-3节点上的pod的ip都不通,kn1-3节点ping km1也不通,但是kn1 kn2 kn3之间他们各自节点上的pod的ip之间是可以相互ping通。 这种情况让我们想起了当时设置路由转发时候的配置,因为我们的四台服务器,只有一个公网IP,我们把19
calico 网段问题
discsthnew的博客
03-26 1万+
Calico 简介 Calico 是一个基于BGP协议的网络互联解决方案。它是一个纯3层的方法,使用路由来实现报文寻址和传输。 相比 flannel, ovs等SDN解决方案,Calico 避免了层叠网络带来的性能损耗。将节点当做 router ,位于节点上的 container 被当做 router 的直连设备。利用 Kernel 来实现高效的路由转发。 节点间的路由信息通过 BGP 协议在...
CentOS7使用kubeadm搭建Kubernetes1.17.3集群全记录
节点加入后,可能需要手动配置网络插件,如Flannel或Calico,以实现Pod间的网络通信。此外,还可以通过kubeadm的命令行选项来部署其他组件,如DNS或Dashboard。整个过程中,需要注意Kubernetes版本的兼容性,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值