pod容器内无法访问集群外部主机ipv6地址

于 2023-12-05 17:58:08 发布
阅读量367 收藏
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44397993/article/details/134812852
版权

一、背景
同事反馈他这边有一环境出现pod容器内无法请求集群外部主机ipv6地址,但是在pod所在集群所主机上是可以请求到外部主机ipv6地址。

二、问题处理过程

首先主机和主机之间ipv6地址能通讯,说明主机之间网络是没啥问题,哪问题就出在容器层面,怀疑是否有防火墙之类的阻止容器的ipv6地址请求转发,并未发现有任何封堵的情况,随后查看相关路由啥的也没啥问题,相关系统ipv6的转发参数也配置有,抓包也没数据生成。
接下来看了下主机的ip信息,发现有ipvs开启生成的网卡信息,然后查看kube-proxy的配置发现用的模式是iptables,之前用的是ipvs模式,后来更改了,但是主机上遗留的信息没有清除,尝试先把这部分ipvs信息删除,包括ipvs生成的防火墙规则,清除完,进入容器内访问外部主机ipv6地址仍然不通。
只能接着查,尝试用docker跑一个容器起来和k8s的pod进行对比访问,看看是否结果一样,结果是docker运行的容器内访问外部主机ipv6地址是通的,pod内还是之前的结果就是不通,这就缩小了排查范围,基本确定可能是calico导致这种情况。
在calico相关社区也看了下,也有人遇到同样的问题,但是没有解决办法,只能自己在继续看看,容器到外部主机必定做nat转换出去的,抓包的时候都没数据,怀疑数据在出的时候就无法转发出去,到官网查了些配置参数,发现有个NATOutgoing参数,表示将nat的数据转发出去,然后将这个参数配置到calico的ippool配置中,重启calico节点,发现可以进容器内,在访问外部主机ipv6地址就通了。
在这里插入图片描述三、处理结果

更改calico的ippool,添加如下图箭头所指参数:

natOutgoing: true

在这里插入图片描述

CSH056
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s pod访问不到外部ip_Kubernetes中的Pod无法访问网-Ubuntu16.04 LTS
weixin_39676034的博客
12-20 2846
Kubernetes中的Pod无法访问网-Ubuntu16.04 LTS安装完Kubernetes后,在Pod中使用wget无法访问网URL地址,但是使用IP地址是可以访问,应该是Pod内无法解析DNS导致的。1、解决方法尝试了将DNS换为CoreDNS,问题仍然存在。经过多次测试,发现下面的方法是可行的:编辑主机的/etc/resolv.conf文件:# Dynamic resolv.con...
k8s pod访问不到外部ip_Pod在混合云中的多K8S集群通信,RH@KubeCon 2019 Day2
weixin_31310913的博客
01-01 484
本Topic是红帽的两位软件工程师。笔者按照自己的理解和这两位同事的探讨,对演讲内容进行解读(注解仅供参考,OCP是红帽OpenShift Container Platform的简称)。OCP3中,每个pod只能有一个IP地址,OCP4可以配置多个(有了CNI)。不同service之间的pod内部通讯,通过service访问。如果pod访问外部网络,需要通过NAT的方式,用node的i...
Pod 网络无法访问排查处理
ss810540895的博客
03-04 2175
如果您无法在相关配置上定位到问题点,则需要确认数据包最终是否被路由到容器里,或者报文到达容器的内容和出容器的内容是否符合预期,并通过分析报文进一步缩小问题范围。若使用 BGP 协议,则会自动同步,通常不需要任何配置。检查 Pod 所在节点的安全组是否正确放通对端 VPC 网段(或者节点所在的 VPC 子网网段)和容器网段。检查 Pod 所在节点的安全组是否正确放通对端节点所在的 VPC 网段或 VPC 子网网段。检查节点安全组是否正确放通容器网段和对端节点所在的 VPC 网段或 VPC 子网网段。
K8s集群节点出现异常,新分配到node上面的pod不能ping通外部pod,同节点pod、宿主机IP也不行,外部pod也不可以ping通IP
scDN121的博客
07-28 1357
(注:一定要云平台后台关机重启,测试过reboot启动后还是不行)###这里没分析到为什么旧的pod是正常网络的,可以ping出去,也正是这个问题一开始干扰了问题排查思路,应该是calico网卡维护了一部分路由表信息吧?
【博客628】k8s pod访问集群域名原理以及主机开启了systemd-resolved的不同情况
qq_43684922的博客
02-19 2549
从dns缓存里查找域名与ip的映射关系从/etc/hosts里查找域名与ip的映射关系从/etc/resolv.conf里查找dns server,并发起解析请求/etc/resolv.conf的内容一般如下:从dns缓存里查找域名与ip的映射关系从/etc/hosts里查找域名与ip的映射关系将dns解析请求发给本地systemd-resolved,由其去代理处理,因为systemd-resolved修改了 /etc/resolv.conf,使得本地解析请求全部发到127.0.0.1:53。
外部访问K8s中Pod的五种方式
纸上得来终觉浅,绝知此事要躬行
03-10 2607
外部访问K8s中Pod的五种方式:hostNetwork、hostPort、NodePort、LoadBalancer、Ingress。
k8s集群主机访问pod的解决方案.docx
10-26
* 再次,需要使用 tcpdump 工具来抓包,了解从 pod访问集群虚机时的出口 IP 地址。 知识点三:使用 telnet 和 tcpdump 工具 * 使用 telnet 工具来测试 pod访问集群虚机的连接情况。 * 使用 tcpdump 工具...
Kubernetes网通信,集群节点访问 pod ip 路由隧道.C/S架构实现
最新发布
02-23
原文链接:https://blog.csdn.net/weixin_48711696/article/details/135972824
k8s容器集群讲义.zip
11-29
Service是容器的抽象,提供一种方法来访问Pod;Deployment用于定义应用的副本数量和更新策略;ReplicaSet确保特定数量的Pod副本始终运行;ConfigMap和Secret则用于存储和管理非敏感和敏感的应用配置数据。 2. **...
Kubernetes容器集群管理系统调研与对比
01-20
Kubernetes 是一个强大的开源容器集群管理系统,源自Google的项目,旨在简化和自动化大规模容器化应用的部署、管理和扩展。Kubernetes 提供了一整套服务,包括应用打包、实例化、运行,以及解决跨机器容器之间的通信...
容器云管理之K8S集群概述
01-27
容器云管理之K8S集群概述】 容器云管理已成为现代企业IT基础设施的重要组成部分,得益于虚拟化技术和容器化的快速发展。企业不再受制于物理硬件的限制,而是通过自动化配置实现业务架构的规模化,能自动扩展和...
k3s pod无法访问外部网络
bbccaaac的博客
05-04 977
操作系统:centos7内核:3.10.0-957.el7.x86_64k3s版本: v1.25.7+k3s1。
Calico的BGP打通Kubernetes网络和局域网
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
05-11 1708
Calico 是一个开源的容器网络解决方案,可以通过使用 BGP 协议来管理容器网络。与传统的基于 VXLAN 的解决方案相比,使用 Calico 可以避免网络数据包的封装和解封过程,提高了网络传输的效率和吞吐量。在 Kubernetes 集群中,Calico 可以用来打通 Pod 和局域网的网络,从而实现跨主机通信。
生产排查k8s相关cluster ip部分不通问题
weixin_42544777的博客
10-18 1125
生产排查问题cluster ip部分通问题。
Pod访问外部的域名配置
weixin_30514745的博客
01-02 538
在实际应用中经常遇到Pod访问外部域名的状况,在Kubenetes 1.6以上的版本通过配置DNS configmap已经解决,详细的内容可以参考官方的 https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/ 如果没有太多时间的化,可以参考下面这个图 简单来说在dnsPoli...
kubernetes中ClusterIP网络不通总结
m0_52526697的博客
01-08 5837
我在使用ClusterIP网络使用的时候,遇见一个问题,就是服务、网络、状态都没有问题,但是我的Clusterl映射的端口就是用curl访问不到。下面是我排查的一个流程,在这里说一下我的网络并不是不通,在文章结尾会写是因为什么。 一、实验环境 我的service用的是IPTABLE 1、创建了一个dev的命名空间 kubectl get service -n dev 2、创建了3个nginx服务 vim /home/pod_nginx.yaml apiVersion: apps/v1 kind.
kubernetes calico网络不通的排查思路
热门推荐
纵横四海的博客
03-11 1万+
网络不通通俗一点就是报文不可达 在这里就不多说了 举个例子 容器A访问不了容器B,也就是容器A ping 不通容器B 排查思路: 正向 1 容器A的内容是否发送到容器A所在的node上 2 容器A所在的节点node是否发送出去 3 容器B所在的节点node是否接收到容器A所在的节点node发送的报文 4 容器B所在的节点node是否把报文发送到容器B中 反向 1 容器B的内容...
k8s pod访问不到外部ip_Kubernetes外部客户端访问Pod的几种方式
weixin_39601511的博客
12-20 3101
kubernetes集群上运行的pod,在集群访问是很容易的,最简单的,可以通过pod的ip来访问,也可以通过对应的svc来访问,但在集群,由于kubernetes集群pod ip地址是内部网络地址,因此从集群访问不到的。为了解决这个问题,kubernetes提供了如下几个方法。hostNetworkhostPortservice NodePorthostNetwork: truehos...
k8s pod访问不到外部ip_Kubernetes中的Pod无法访问网-Ubuntu16.04 LTS,
weixin_39857792的博客
12-20 1457
Kubernetes中的Pod无法访问网-Ubuntu16.04 LTS,Kubernetes中的Pod无法访问网-Ubuntu16.04 LTS安装完Kubernetes后,在Pod中使用wget无法访问网URL地址,但是使用IP地址是可以 访问,应该是Pod内无法解析DNS导致的。1、解决方法尝试了将DNS换为CoreDNS,问题仍然存在。经过多次测试,发现下面的方法是可行的:编辑主机的...
怎么通过Ingress访问集群内部pod,怎么设置hosts
06-09
要通过 Ingress 访问集群内部的 Pod,需要在 Ingress 配置中指定相应的后端服务。具体操作如下: 1. 创建一个后端服务 Service,在 Service 中指定要暴露的 Pod,如下: ``` apiVersion: v1 kind: Service ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值