现象
集群3个节点,通过istio-ingressgateway暴露了一个nodeport类型的31400端口。对于nodeport类型的端口,理论上可以通过任何一个节点的nodeip+nodeport访问的,但是该环境在实际访问时,客户反馈172.17.32.2的31400端口无法访问,telnet不通。
如上,集群172.17.16.16;172.17.32.16;172.17.32.2,唯独172.17.32.2节点的无法正常通信。
调查
- 初始怀疑172.17.32.2节点kube-proxy组件异常,观察发现该节点kube-proxy的pod为running,对比正常节点,日志未发现错误信息。
- 通过
iptables -S -t nat|grep 31400
调查正常节点和异常节点的对于nodeport类型的iptables规则,也未发现异常。