【博客515】k8s中为什么需要br_netfilter与net.bridge.bridge-nf-call-iptables=1

最新推荐文章于 2024-05-20 10:07:58 发布
最新推荐文章于 2024-05-20 10:07:58 发布
阅读量7.2k 收藏 23
点赞数 18
分类专栏: k8s 计算机网络 文章标签: kubernetes 运维 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43684922/article/details/127333368
版权

k8s中为什么需要br_netfilter与net.bridge.bridge-nf-call-iptables=1

br_netfilter模块的意义

br_netfiler作用:br_netfilter模块可以使 iptables 规则可以在 Linux Bridges 上面工作,用于将桥接的流量转发至iptables链

没有br_netfilter模块有什么影响

在基本使用过程中,如果没有加载br_netfilter模块,那么并不会影响不同node上的pod之间的通信,但是会影响同node内的pod之间通过service来通信

比如:

一个pod通过一个service访问其后端的pod,而这个service后端的pod刚好与这个发起请求的pod
在一个node上,那么此时如果没有br_netfilter模块,那么流量是不通的

为什么没有br_netfilter模块会影响service将流量转发给同一node上的pod

因为iptables是在三层的,而linux bridge是在二层的。当pod发出的流量经过service来转发后是到同一个node上的pod,那么此时两个pod都是桥接在cni网桥上的,那么就会直接通过网桥来传递流量,但是此时流量的处理就不会up call到三层的iptables规则,从而导致转发异常

net.bridge.bridge-nf-call-iptables=1的作用

启用 bridge-nf-call-iptables 这个内核参数 (置为 1),表示 bridge 设备在二层转发时也去调用 iptables 配置的三层规则 (包含 conntrack)

为什么需要net.bridge.bridge-nf-call-iptables=1

1、每个 Pod 的网卡都是 veth 设备,veth pair 的另一端连上宿主机上的网桥。
2、由于网桥是虚拟的二层设备,同节点的 Pod 之间通信直接走二层转发,跨节点通信才会经过宿主机 eth0。
在这里插入图片描述

Service 同节点通信问题:

不管是 iptables 还是 ipvs 转发模式,Kubernetes 中访问 Service 都会进行 DNAT,将原本访问 ClusterIP:Port 的数据包 DNAT 成 Service 的某个 Endpoint (PodIP:Port),然后内核将连接信息插入 conntrack 表以记录连接,目的端回包的时候内核从 conntrack 表匹配连接并反向 NAT,这样原路返回形成一个完整的连接链路:在这里插入图片描述但是 Linux 网桥是一个虚拟的二层转发设备,而 iptables conntrack 是在三层上,所以如果直接访问同一网桥内的地址,就会直接走二层转发,不经过 conntrack:

此时导致问题:

1、Pod 访问 Service,目的 IP 是 Cluster IP,不是网桥内的地址,走三层转发,会被 DNAT 成 PodIP:Port。
2、如果 DNAT 后是转发到了同节点上的 Pod,目的 Pod 回包时发现目的 IP 在同一网桥上,就直接走二层转发了,没有调用 conntrack,导致回包时没有原路返回
在这里插入图片描述

由于没有原路返回,客户端与服务端的通信就不在一个 “频道” 上,不认为处在同一个连接,也就无法正常通信。常见的问题现象就是偶现 DNS 解析失败,当 coredns 所在节点上的 pod 解析 dns 时,dns 请求落到当前节点的 coredns pod 上时,就可能发生这个问题。

如何诊断br_netfiler与net.bridge.bridge-nf-call-iptables缺失的问题

1、检查br_netfilter是否挂载

lsmod | grep br_netfilter

2、检查net.bridge.bridge-nf-call-iptables

# 检查 bridge netfilter 是否开启
sysctl net.bridge.bridge-nf-call-iptables

# 0 表示未开启
net.bridge.bridge-nf-call-iptables = 0

如何修复br_netfiler与net.bridge.bridge-nf-call-iptables缺失的问题

1、修复br_netfiler缺失

echo "br_netfilter" >> /etc/modules-load.d/modules.conf

2、修复net.bridge.bridge-nf-call-iptables缺失

sysctl -w net.bridge.bridge-nf-call-iptables=1
echo net.bridge.bridge-nf-call-iptables=1 >> /etc/sysconf.d/10-bridge-nf-call-iptables.conf
sysctl -p
lulu的云原生笔记
关注
  • 18
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
K8s为啥要启用bridge-nf-call-iptables内核参数?用案例给你讲明白
2401_84167086的博客
04-11 661
这份清华大牛整理的进大厂必备的redis视频、面试题和技术文档祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!!一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!牛整理的进大厂必备的redis视频、面试题和技术文档**祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!!
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
Module br_netfilter not found解决办法-工业一体机(3)
AI
05-06 4539
升级内核解决br_netfilter
解决使用安装k8s出现:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist
最新发布
请叫我刘小帅的博客
05-20 354
【代码】解决使用安装k8s出现:/proc/sys/net/bridge/bridge-nf-call-iptables does not exist。
K8S 1.28.3安装排错:kubeadm join节点时报错——[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]
学亮编程手记
11-13 580
命令以加入节点到 Kubernetes 集群。如果仍然遇到其他错误,请提供完整的错误消息,以便我能够更好地帮助您解决问题。根据您提供的错误信息,出现了一个预检错误。错误消息提到了缺少。在节点上以 root 用户或具有 sudo 权限的用户身份登录。如果您使用的是 CentOS 7 或 RHEL 7,还需要在。这个错误可以通过在节点上加载。参数,并确保它的值设置为。现在,您可以再次尝试运行。
k8s 出错 /proc/sys/net/bridge/bridge-nf-call-iptables does not exist
weixin_44371237的博客
02-14 2475
初始化过程,可能会遇到“/proc/sys/net/bridge/bridge-nf-call-iptables does not exist”的错误,这是因为之前配置的br_netfilter没有启动
K8s为啥要启用bridge-nf-call-iptables内核参数?用案例给你讲明白(1)
2301_79963818的博客
05-16 656
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
k8s内核优化
屈帅波的技术博客
03-01 751
net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv4.ip_local_port_range
树莓派安装K8S显示/proc/sys/net/bridge/bridge-nf-call-iptables:没有这个文件或者目录
纯粹的博客
07-31 1547
树莓派安装K8S显示/proc/sys/net/bridge/bridge-nf-call-iptables:没有这个文件或者目录 执行以下语句 modprobe br_netfilter 转载于https:https://blog.51cto.com/sry2004/2090499
/proc/sys/net/bridge/bridge-nf-call-iptables does not exist k8s
qq_34988341的博客
11-04 2817
出现错误: ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables does not exist 解决方法: modprobe br_netfilter echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables
linux_firewall_netfilter-master.zip_LINUX防火墙_linux 防火墙_linux 防火
09-23
简单linux防火墙程序,基于netfilter
netfilter-layer7-v2.1.tar.gz_V2 _l7-filter_l7-protocols_netfilte
09-21
netfilter l7补丁文件!根据自己情况更改
ja-netfilter-2022.2.0.zip
06-03
在ja-netfilter-2022.2.0,我们可以探讨以下几个关键知识点: 1. **网络过滤**:网络过滤通常涉及对网络数据包的检查,例如IP地址、端口、协议等信息,以便根据预定义的规则决定是否允许数据包通过。ja-netfilter...
博客90】路由表的0.0.0.0
热门推荐
qq_43684922的博客
08-09 1万+
内容: 今天记录一下路由表的一些表项的0.0.0.0是什么意思。本周答辩的时候,导师提到路由表,问起了解释表项。有一条我给忘记了,回去宿舍之后复习了下,周五下班刚好有空记录一下哈。 我的路由表:(我的IP:192.168.2.198,网关:192.168.2.200) 一:第一条表项0.0.0.0的意义 这里的0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合:所有不清...
博客425】0.0.0.0 与 255.255.255.255
qq_43684922的博客
07-09 1万+
含义: 用途: 255.255.255.255 含义:最大的ip地址,泛指所有的主机用途:作为广播地址寻找DHCP Server 提供IP地址租用 接受IP租约 租约确认
博客195】ping命令发送了什么报文?
qq_43684922的博客
04-05 7756
内容: 记录ping命令使用了什么报文来完成探测的 ping使用了什么报文: ping命令使用了ICMP报文,ICMP报文有很多的种类,其ping使用的是回显请求和回显应答报文 ping命令实测: 抓包: 结果:抓取到代码类型为8,0和0,0的回显请求和回显应答报文,且类型为ICMP报文 大四学生一枚,如果文章有错误的地方,欢迎在下方提出,每条评论我都会去认真看并回复,同时感谢指正的前辈...
博客624】MAC地址表、ARP表、路由表(RIB表)、转发表(FIB表)
qq_43684922的博客
02-18 7367
MAC地址表是交换机等网络设备记录MAC地址和端口的映射关系,代表了交换机从哪个端口学习到了某个MAC地址,交换机把这个信息记录下来,后续交换机需要转发数据的时候就可以根据报文的目的MAC地址去根据MAC地址表转发数据。
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: 没有那个文件或目录
06-03
这个错误信息通常是因为您的内核没有开启桥接模块的相关功能所导致的。您可以尝试执行以下命令来开启这些功能: ``` sudo modprobe br_netfilter sudo sysctl net.bridge.bridge-nf-call-iptables=1 sudo sysctl net.bridge.bridge-nf-call-ip6tables=1 ``` 如果您仍然遇到问题,可以尝试升级您的内核版本或者重新编译内核时开启相关功能。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值