记一次kubernetes Pod跨节点访问不通的调查过程

已于 2023-12-26 11:11:26 修改
阅读量1k 收藏 9
点赞数 10
文章标签: kubernetes 容器 云原生 网络
于 2023-12-25 09:57:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qd89zzx/article/details/135192443
版权

问题描述

其他组同事在客户现场部署了一套kubernetes环境,在其之上部署了volcano,一个用于高性能计算调度的组件。环境部署成功后,出现了一个问题,在node上ping经由volcano创建调度的pod时,如果pod在本节点上,可以ping通,如果跨界点ping不通。但是ping普通的pod,无论是否在本节点上都可以ping通。
总结一下,情况如下表:

pod类型pod IPnode上ping本node上的podnode上ping其他node的pod
volcano创建调度的pod10.103.99.141不通
非volcano创建调度的pod10.103.99.142

问题分析

客户现场的同事反馈说CNI使用的是calico,原来在测试环境使用的是flannel,读到这里有经验的读者可能已经知道大概是什么原因了。这里先卖个关子,其实问题很简单,但是恰逢周末,另外客户现场网络涉密也不能远程链接,所有的沟通都靠同事拍照回传,所以脑子混乱,一直到第二天周一使用了最麻烦的debug方式才找到问题所在。

下面记录了整个过程:

  1. ip route 检查两个pod所在node上的路由信息,发现有以下两条路由信息。证明calico把去往calixxxx的路由信息已经写到node上了。那为什么10.103.99.141跨节点不通,而10.103.99.142跨节点可以通。
10.103.99.141 dev calixxxxxxx scope link
10.103.99.142 dev calixxxxxxx scope link
  1. 继续分析想到用tcpdump在各个nic上抓包看一下,到底是在哪一步断掉了。我们假设,pod运行在node2上,我们从node1上来ping有问题的pod。整个ping的过程会经过下面几个nic。流量从node1物理网卡出来,进入node2物理网卡,转发到node2上的tunl0设备,最终到达pod所对应的cali开头的veth pair对,pod就会接收到请求。
node1.eth0 -> node2.eth0 -> node2.tunl0 -> node2.calixxxxx
  1. 在node2上执行下面的命令,抓经过tunl0的包。可以看到有包经过,但是只能抓到request的包,没有response的包。
tcpdump -i tunl0 icmp and host 10.103.99.141
  1. 继续在node2上抓10.103.99.41所对应的veth pair设备的包。
 tcpdump -i calixxx icmp and host 10.103.99.141

结果符合预期在10.103.99.141的veth pair对上没有抓到icmp包。也就是说icmp包到达tunl0以后就没有向veth pair对转发。
6. 包到了tunl0上后,理论上应该根据路由信息转发到calixxx设备上才对,但是在calixxx上却没有抓到包,icmp包不会无缘无故消失。猜测是iptable上面添加了drop规则。关于iptable的内容,下面的两篇文章给了不少帮助
iptables详解
iptables与tcpdump谁更靠近网卡
执行下面的命令,发现在forword链上添加了好多Drop规则。

iptables -vL|grep Drop
  1. 判断是不是因为这些Drop规则将ping包丢弃的,组里大佬提示在forword链上加上一条接收所有请求的规则,然后看看ping pod能否通。执行如下命令,添加规则。
iptables -I FORWARD -j ACCEPT
  1. 添加规则后pod能ping通了。所以确定ping包被丢弃就是因为FORWARD链上面的drop规则导致的,但是规则好多,到底是哪一条呢。多亏组里大佬又有了新的发现,其中一条规则前两列,packets和bytes都是有数值的。而其他规则packets和bytes为0,也就是说只有一条规则被命中过,并实行了丢包行为。这一条规则的comments 写着 “calixxxx Drop if no policies passed packet”。

结论

很明显这条规则是calico添加的,而且还提到了policies,calico 有什么policies呢。想到这我恍然大悟,客户现场部署的应用肯定是添加了networkpolicy。他们在自己环境测试的时候用的是flannel,flannel是不支持networkpolicy的所以创建的networkpolicy根本没有生效。而换成calico后,networkpolicy生效了导致pod不通。最终临时解决方案是删掉这些networkpolicy。

过程很艰辛,但是问题很简单,如果从一开始就去检查networkpolicy,就不需要费力抓包分析iptables规则了。但是经过复杂的调查过程,也是有收获的。比如知道了calico的networkpolicy drop规则是添加在FORWORD链上的。这也解释了为什么在同节点上ping pod上可以ping通的。因为同节点ping时不会经过forward链,那流量也就不会drop掉了。

同节点ping包流程如下

用户态ping命令 -> iptables output链 -> 路由表 -> postrouting链 -> calixxx veth pair对
qd89zzx
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s 不同node之间pod ip不通
weixin_40548182的博客
06-14 3161
底层k8s使用calico网络,ipip网络模式,kubevirt启动了2台虚拟机;在这两台虚拟机上再搭建k8s,calico网络,ipip网络模式。说明:我是使用helm安装的calico,改这个模式要改crd资源ippools。其他方式安装的calico修改方法可能不一样。在虚拟机上的k8s上启动了2个pod,分布在不同的node上,这两个pod不能ping对方的pod ip。修改虚拟机之上的k8s集群的calico网络的ipipMode为Never即可,之前使用的是Always。
Kubernetes内外网信,集群外节点访问 pod ip 路由隧道.C/S架构实现
02-23
原文链接:https://blog.csdn.net/weixin_48711696/article/details/135972824
kubernetes 两个 node 的pod 无法互相访问_Kubernetes项目实战 十问十答
weixin_39576104的博客
11-21 997
Kubernetes简介Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署、规划、更新、维护的一种机制。常,把Kubernetes看作Docker的上层架构,Kubernetes以Docker为基础打造了一个云计算时代的全新分布式系统架构。Kubernetes架构中不仅仅只支持...
pod 网络访问不通简单整理
zuo84526076的博客
02-11 6140
一:pod非running状态 先kubectl describe pod xxx 如果说pod是时好时坏,可以logs 查看 也可以kubectl exec -it xxx bash 什么情况下pod会处于pending状态?(pending状态pod是未分配,只有分配后才会拉取镜像) 情况:资源不足;污点;没有节点标签;没有匹配到标签。 集群部署类问题: 1 网络不通 检测方法telnet,ping 2 启动失败 (一般是配置文件或者依赖服务) 比如apiserver依赖etcd,etcd起不来,api
解决k8s中节点之间Pod无法ping以及Pod正常运行但k8sdashboard无法访问
最新发布
Dandelin的博客
05-22 641
pod正常运行但无法在各个节点上互相ping ,Pod正常运行但k8sdashboard无法访问,pod ping不通
Kubernetes 网络排查方法
u013916029的博客
11-19 1262
k8s
K8S集群部署,flannel网络问题,各个节点之间的Pod无法ping
qq_46274911的博客
11-11 4446
K8S集群部署,flannel网络问题,各个节点之间的Pod无法ping
一次k8s pod之间ip无法访问,问题排查与定位_pod ip不通-CSDN博客
忙碌的吴小二博客
05-16 434
一次k8s pod之间ip无法访问,问题排查与定位问题展现现象node之间信正常 部分node上的pod无法信排查有问题node使用启动网络测试工具环境准备docker数据库mysql使用有状态副本集合--- apiVersion: apps/v1 kind: StatefulSet metadata: annotations: k8s.kuboard.cn/displayNa...
K8S 不同节点无法访问Pod
very_99的博客
07-14 2356
#只能运行pod的node访问pod id报错的信息: 查看日志发现有报错 查看NW 继续查看,反正不理解什么意思 把NW禁用吧 重启NW再看 ok curl 就了为什么呢?
k8snode curl 访问不通问题排查解决
weixin_43804233的博客
05-08 2478
参考连接:问题是这样的:三台云服务器:部署了三个master+三个node,发现在其中一台master上,验证能够正常访问其他工作节点上的pod。发现curl 不了,只能curl分配到本机的pod,后面才发现是路由转发策略问题导致!一下是步骤和解决方式:Chain FORWARD (policy DROP) 是 Linux iptables 防火墙中的一个规则链,用于控制转发流量的访问
kubernetes Pod 异常排查步骤
01-23
kubernetes Pod 异常排查步骤 在 Kubernetes 中,Pod 是最基本的执行单元,但是在实际操作中,Pod 可能会出现各种问题和异常。因此,了解如何排查和解决 Pod 异常问题非常重要。 Pod 是否处于 PENDING 状态? 在 ...
chaos-agent:在Kubernetes中运行,杀死随机的Kubernetes Pod节点
03-26
Kubernetes中运行,杀死随机的Kubernetes吊舱/节点。 去做 空运行模式 随机模式 要删除的Num Pod 使配置文件名可配置 使宽限期可配置 排除用于pod删除的名称空间 命名空间包含选项 Docker文件 节点缺少...
部署Kubernetes Pod?教你五招!
01-07
Kubernetes中,pod是基本部署单位。它可以包含一个或多个作为逻辑实体打包和部署的容器。在Kubernetes中运行的云原生应用程序可能包含多个一一映射到每个微服务的podpod也是Kubernetes的扩展单位。 下面是在...
kubernetes-api:访问Pod中的kubernetes API
05-01
POD访问KUBERNETES API介绍在Kubernetes中,可以使用“ kubectl”命令来管理大量资源或实体(吊舱,部署,服务,机密等)。 但是,可以使用kubernetes Rest API( )直接管理所有这些资源。 可以直接进行api调用...
一次k8s pod之间ip无法访问,问题排查与定位
忙碌的吴小二博客
04-17 851
node之间信正常部分node上的pod无法信。
k8s pod之间不能信_Kubernetes的工作由两个pod组成(必须在不同的节点上运行并相互信)...
weixin_39943586的博客
12-22 814
我正在尝试创建一个包含两个podKubernetes作业,这两个pod必须在我们的Hybrid集群中的不同节点上进行调度 . 我们的要求是其中一个pod在Windows Server节点上运行而另一个pod在Linux节点上运行(因此我们不能只从同一个pod运行两个Docker容器,我知道这是可能的,但不能在我们的场景) . Linux pod(您可以将其视为客户端)将网络与Windows...
k8s节点ip_forward 未开启,修改内核参数后pod无法访问
weixin_37844885的博客
07-07 511
k8s节点ip_forward 未开启,修改内核参数后pod无法访问
kubernetes 两个 node 的pod 无法互相访问_Kubernetes学习之基本概念
weixin_39796116的博客
11-21 439
Master集群的控制节点,负责整个集群的管理和控制kube-apiserver:提供HTTP Rest 接口关键服务进程,是所有资源增删查等操作入口,也是集群控制的入口进程kube-controller-manager:kubernetes 里所有资源对象的自动化控制中心kube-scheduler:负责资源调度(Pod调度)的进程etcd:保存kubernetes所有资源对象的数据,存储Nod...
帮我绘制一个winform项目的菱形button控件
07-14
当然可以帮你绘制一个菱形的WinForms按钮控件。以下是一个基本的示例代码: ```csharp using System; using System.Drawing; using System.Windows.Forms; namespace DiamondButtonExample { public partial class DiamondButton : Button { public DiamondButton() { InitializeComponent(); SetStyle(ControlStyles.UserPaint | ControlStyles.AllPaintingInWmPaint, true); FlatStyle = FlatStyle.Flat; FlatAppearance.BorderSize = 0; BackColor = Color.Transparent; Size = new Size(100, 100); } protected override void OnPaint(PaintEventArgs pevent) { GraphicsPath path = new GraphicsPath(); Point[] points = { new Point(ClientRectangle.Width / 2, 0), new Point(ClientRectangle.Width, ClientRectangle.Height / 2), new Point(ClientRectangle.Width / 2, ClientRectangle.Height), new Point(0, ClientRectangle.Height / 2) }; path.AddPolygon(points); Region = new Region(path); base.OnPaint(pevent); } } } ``` 要使用这个自定义的按钮控件,可以按照以下步骤进行: 1. 创建一个新的 WinForms 项目。 2. 在解决方案资源管理器中,右键单击项目,选择“添加”->“类”。 3. 将上述代码复制到新创建的类文件中。 4. 在主窗体或其他窗体上添加一个按钮控件。 5. 在设计器中选择该按钮控件,然后在属性窗口中找到“Modifiers”属性,并将其设置为“Public”。 6. 打开主窗体或其他窗体的代码文件,在顶部添加 `using DiamondButtonExample;`。 7. 在窗体的构造函数或加载事件中,使用如下代码创建和添加自定义的菱形按钮控件: ```csharp DiamondButton diamondButton = new DiamondButton(); Controls.Add(diamondButton); ``` 现在你应该能够在你的 WinForms 项目中看到一个菱形按钮控件了。你可以根据需要修改按钮的大小、颜色和其他属性。希望这能帮到你!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值