【博客515】k8s中为什么需要br_netfilter与net.bridge.bridge-nf-call-iptables=1

已于 2024-08-01 11:20:18 修改
阅读量9.8k 收藏 34
点赞数 20
分类专栏: k8s 计算机网络 文章标签: kubernetes 运维 容器
于 2022-10-15 12:09:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43684922/article/details/127333368
版权

k8s中为什么需要br_netfilter与net.bridge.bridge-nf-call-iptables=1

br_netfilter模块的意义

br_netfiler作用:br_netfilter模块可以使 iptables 规则可以在 Linux Bridges 上面工作,用于将桥接的流量转发至iptables链

没有br_netfilter模块有什么影响

在基本使用过程中,如果没有加载br_netfilter模块,那么并不会影响不同node上的pod之间的通信,但是会影响同node内的pod之间通过service来通信

比如:

一个pod通过一个service访问其后端的pod,而这个service后端的pod刚好与这个发起请求的pod
在一个node上,那么此时如果没有br_netfilter模块,那么流量是不通的

为什么没有br_netfilter模块会影响service将流量转发给同一node上的pod

因为iptables是在三层的,而linux bridge是在二层的。当pod发出的流量经过service来转发后是到同一个node上的pod,那么此时两个pod都是桥接在cni网桥上的,那么就会直接通过网桥来传递流量,但是此时流量的处理就不会up call到三层的iptables规则,从而导致转发异常

net.bridge.bridge-nf-call-iptables=1的作用

启用 bridge-nf-call-iptables 这个内核参数 (置为 1),表示 bridge 设备在二层转发时也去调用 iptables 配置的三层规则 (包含 conntrack)

为什么需要net.bridge.bridge-nf-call-iptables=1

1、每个 Pod 的网卡都是 veth 设备,veth pair 的另一端连上宿主机上的网桥。
2、由于网桥是虚拟的二层设备,同节点的 Pod 之间通信直接走二层转发,跨节点通信才会经过宿主机 eth0。
在这里插入图片描述

Service 同节点通信问题:

不管是 iptables 还是 ipvs 转发模式,Kubernetes 中访问 Service 都会进行 DNAT,将原本访问 ClusterIP:Port 的数据包 DNAT 成 Service 的某个 Endpoint (PodIP:Port),然后内核将连接信息插入 conntrack 表以记录连接,目的端回包的时候内核从 conntrack 表匹配连接并反向 NAT,这样原路返回形成一个完整的连接链路:在这里插入图片描述但是 Linux 网桥是一个虚拟的二层转发设备,而 iptables conntrack 是在三层上,所以如果直接访问同一网桥内的地址,就会直接走二层转发,不经过 conntrack:

此时导致问题:

1、Pod 访问 Service,目的 IP 是 Cluster IP,不是网桥内的地址,走三层转发,会被 DNAT 成 PodIP:Port。
2、如果 DNAT 后是转发到了同节点上的 Pod,目的 Pod 回包时发现目的 IP 在同一网桥上,就直接走二层转发了,没有调用 conntrack,导致回包时没有原路返回
在这里插入图片描述

由于没有原路返回,客户端与服务端的通信就不在一个 “频道” 上,不认为处在同一个连接,也就无法正常通信。常见的问题现象就是偶现 DNS 解析失败,当 coredns 所在节点上的 pod 解析 dns 时,dns 请求落到当前节点的 coredns pod 上时,就可能发生这个问题。

总结

在这里插入图片描述
在这里插入图片描述
设置 bridge-nf-call-iptables 这个内核参数 (设置为 1),表示 bridge 设备在二层转发时也去调用 iptables 配置的三层规则 (包含 conntrack),所以开启这个参数就能够解决上述 Service 同节点通信问题。

如何诊断br_netfiler与net.bridge.bridge-nf-call-iptables缺失的问题

1、检查br_netfilter是否挂载

lsmod | grep br_netfilter

2、检查net.bridge.bridge-nf-call-iptables

# 检查 bridge netfilter 是否开启
sysctl net.bridge.bridge-nf-call-iptables

# 0 表示未开启
net.bridge.bridge-nf-call-iptables = 0

如何修复br_netfiler与net.bridge.bridge-nf-call-iptables缺失的问题

1、修复br_netfiler缺失

echo "br_netfilter" >> /etc/modules-load.d/modules.conf

2、修复net.bridge.bridge-nf-call-iptables缺失

sysctl -w net.bridge.bridge-nf-call-iptables=1
echo net.bridge.bridge-nf-call-iptables=1 >> /etc/sysconf.d/10-bridge-nf-call-iptables.conf
sysctl -p
K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
12-12 4万+
🔴 K8s(二):集群部署----->超详细
net.bridge.bridge-nf-call-iptables1
热门推荐
tycoon的专栏
11-05 3万+
http://blog.csdn.net/quqi99/article/details/7447233
kubernetes 集群安装加载 br_netfilter 模块
周十一的技术博客
09-07 2312
kubernetes 集群安装加载 br_netfilter 模块
搭建k8s节点报错[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]:
朱海燕的博客日记
08-21 3万+
[root@k8snode2 k8s_images]# kubeadm join --token f0bc0b.7aa9033c4f7ae16c 192.168.6.7:6443 --discovery-token-ca-cert-hash sha256:ee4c3346ade1c7ce0eeb80a9cce46b7d323886012e3dd15ac49f2ba81a3f0023 [prefli...
openEuler 基于 kubeadm 部署k8s
wo_chao_yuan的博客
03-20 799
注意:加入集群时需要添加 --cri-socket unix:///var/run/cri-dockerd.sock。yum install cri-dockerd-0.3.16-3.fc35.x86_64.rpm ---后安装。yum install libcgroup-0.41-19.el8.x86_64.rpm ---先安装。修改为 criSocket: unix:///var/run/cri-dockerd.sock。- name: node 修改node为 k8s-master01
Linux配置参数解读:net.bridge.bridge-nf-call-iptables=1
学亮编程手记
01-14 3253
这种技术可以用于实现虚拟化环境中的网络隔离和互联,例如容器化技术中的 Docker 等。通过启用此选项,可以在网络桥接模式下使用 iptables 防火墙规则,对通过虚拟网桥的网络流量进行控制和管理。配置项的作用是启用 Linux 系统中网络桥接模式下的 iptables 包过滤功能,允许对桥接设备上的网络流量进行 iptables 规则的过滤和转发。它的作用是启用网络桥接模式下的 iptables 包过滤功能。需要注意的是,此配置项需要在 Linux 系统级别进行设置,通常位于。命令来加载更新后的配置。
linux net.bridge.bridge-nf-call-iptables几个参数的使用
Emerson的博客
08-13 795
这样的防火墙工具进行过滤和控制,那么将这三个参数都设置为 1 是有意义的。不过,这也可能会增加系统的延迟和资源消耗,因为每次数据包通过桥接设备时都需要被多次检查。请注意,这些参数的设置通常需要管理员权限来修改,并且可能取决于你的系统和网络配置。在默认情况下,Linux 系统可能会根据其特定的安全策略自动调整这些值。是 Linux 系统中用于控制网络桥接时防火墙规则的参数。通常情况下,如果你在使用 Linux 系统并且需要确保网络流量通过。
记录下/proc/sys/net/bridge/bridge-nf-call-iptables原理。
flxzlxb的专栏
01-19 3426
1、首先NF_BR_PRE_ROUTING钩子点注册了br_nf_pre_routing函数。 2、br_nf_pre_routing函数中有if (!brnf_call_iptables && !br->nf_call_iptables) return NF_ACCEPT;,二者有一个为真则执行函数后续的代码。 3、br_nf_pre_routing函数中调用了nf_bridge_alloc分配skb->nf_bridge。 4、br_nf_forward_ip、br_.
关于bridge-nf-call-iptables的设计问题
互联网
03-09 1075
熟悉ebtables和iptables的都知道,后者提供的选项所能实现的功能要远远多于前者,但这并不是说IP层的功能要比数据链路层的更丰富,因为只要数据包进入网卡,协议栈代码就能“看到”整个数据包,剩下的问题就是如何来解析和过滤的问题了,只要愿意,实际上协议栈完全可以在数据链路层提供和IP层同样的过滤功能,比如ip_conntrack。 然而,协议栈并没有这么实现,因为那样会造成严重的代码冗余,维...
#!/bin/bash echo "192.168.1.11 k8s-master01" >>/etc/hosts echo "192.168.1.12 k8s-node01" >>/etc/hosts echo "192.168.1.13 k8s-node02" >>/etc/hosts yum install -y yum-utils device-mapper-persistent-data lvm2 yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo cat <<EOF > /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/ enabled=1 gpgcheck=0 repo_gpgcheck=0 gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg EOF yum install wget jq psmisc vim net-tools telnet yum-utils device-mapper-persistent-data lvm2 git -y systemctl disable --now firewalld setenforce 0 sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config swapoff -a && sysctl -w vm.swappiness=0 sed -ri '/^[^#]*swap/s@^@#@' /etc/fstab yum -y install chrony systemctl enable --now chronyd chronyc tracking chronyc -a makestep ulimit -SHn 65535 echo "* soft nofile 65536" >> /etc/security/limits.conf echo "* hard nofile 131072" >> /etc/security/limits.conf echo "* soft nproc 65535" >> /etc/security/limits.conf echo "* hard nproc 655350" >> /etc/security/limits.conf echo "* soft memlock unlimited" >> /etc/security/limits.conf echo "* hard memlock unlimited" >> /etc/security/limits.conf yum install ipvsadm ipset sysstat conntrack libseccomp -y modprobe -- ip_vs && modprobe -- ip_vs_rr && modprobe -- ip_vs_wrr && modprobe -- ip_vs_sh && modprobe -- nf_conntrack cat <<EOF > /etc/modules-load.d/ipvs.conf ip_vs ip_vs_lc ip_vs_wlc ip_vs_rr ip_vs_wrr ip_vs_lblc ip_vs_lblcr ip_vs_dh ip_vs_sh ip_vs_fo ip_vs_nq ip_vs_sed ip_vs_ftp ip_vs_sh nf_conntrack ip_tables ip_set xt_set ipt_set ipt_rpfilter ipt_REJECT EOF systemctl enable --now systemd-modules-load.service cat <<EOF > /etc/sysctl.d/k8s.conf net.ipv4.ip_forward = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 fs.may_detach_mounts = 1 net.ipv4.conf.all.route_localnet = 1 vm.overcommit_memory=1 vm.panic_on_oom=0 fs.inotify.max_user_watches=89100 fs.file-max=52706963 fs.nr_open=52706963 net.netfilter.nf_conntrack_max=2310720 net.ipv4.tcp_keepalive_time = 600 net.ipv4.tcp_keepalive_probes = 3 net.ipv4.tcp_keepalive_intvl =15 net.ipv4.tcp_max_tw_buckets = 36000 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_max_orphans = 327680 net.ipv4.tcp_orphan_retries = 3 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 16384 net.core.somaxconn = 16384 EOF sysctl --system yum install docker-ce-20.10.* docker-ce-cli-20.10.* -y cat <<EOF | sudo tee /etc/modules-load.d/containerd.conf overlay br_netfilter EOF modprobe -- overlay modprobe -- br_netfilter cat <<EOF | sudo tee /etc/sysctl.d/99-kubernetes-cri.conf net.bridge.bridge-nf-call-iptables = 1 net.ipv4.ip_forward = 1 net.bridge.bridge-nf-call-ip6tables = 1 EOF sysctl --system mkdir -p /etc/containerd containerd config default | tee /etc/containerd/config.toml cat > /etc/crictl.yaml <<EOF runtime-endpoint: unix:///run/containerd/containerd.sock image-endpoint: unix:///run/containerd/containerd.sock timeout: 10 debug: false EOF 这个脚本有语法错误吗
最新发布
03-29
好的,我现在需要仔细检查用户提供的这个Bash脚本是否存在语法错误。首先,我应该逐行阅读脚本,看看是否有明显的语法问题。 首先,脚本开头是#!/bin/bash,这没问题。接下来几行是向/etc/hosts追加主机名和IP地址...
【实战加详解】二进制部署k8s高可用集群系列教程五 -初始化服务器
JohnYang's CSDN Home
10-12 811
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
k8s学习笔记1-搭建k8s环境(k8s版本1.24.3,ubuntu版本22.04)
weixin_43501172的博客
07-23 5579
k8s的版本在1.24版本开始,Kubernetes正式移除对Dockershim的支持,Kubernetes1.24之后,如还想继续在k8s中使用docker,需要自行安装cri-dockerd组件或者containerd组件,下面的步骤,经过反复测试很多次,步骤应该很稳。之前我写的一篇关于k8s安装的博客,那个主要是针对k8s版本为1.23.6的,对于1.24及其以上的版本,那个安装博客,不适用。...
K8S学习笔记-------1.安装部署K8S集群环境
01-31 1236
K8S基础知识
linux透明防火墙--br_netfilter
网络安全研究
04-17 9327
linux使用netfilter实现透明防火墙(桥接模式) 下图展示了透明防火墙下,netfilter的报文传送流程:
net.bridge.bridge-nf-call-iptablesNetfilter中数据包的影响
zxygww的专栏
04-13 8610
net.bridge.bridge-nf-call-iptablesNetfilter中数据包的影响
[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-cal
qq_47904804的博客
06-04 3303
【代码】[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-cal。
bridge-nf-call-iptables
tycoon的专栏
11-05 6177
static int __init br_init(void) { ... /* 网桥HOOK点注册 */ err = br_netfilter_init(); if (err)    goto err_out1; ... /* 网桥处理接口 */ br_handle_frame_hook = br_handle_frame; ...  } int __in
ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables 设置错误导致kubeadm安装k8s失败
Vv的博客
03-12 6540
临时解决办法:(重启消失) echo "1">/proc/sys/net/bridge/bridge-nf-call-iptables echo "1">/proc/sys/net/bridge/bridge-nf-call-ip6tables 永久解决方法: 在/etc/sysctl.conf中添加: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 执行s...
这次又是 bridge-nf-call-iptables 惹的祸...
云原生实验室
08-30 2242
使用 kubernetes 遇到最多的 70%问题都可以归于网络问题,最近发现如果内核参数: bridge-nf-call-iptables设置不当的话会影响 kubernetes 中 N...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值