kubeovn网关vpc-nat-gw生效问题

最新推荐文章于 2023-06-25 21:49:18 发布
最新推荐文章于 2023-06-25 21:49:18 发布
阅读量630 收藏 1
点赞数
文章标签: kubernetes 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_38453878/article/details/124630918
版权

场景

在vpc下每个子网部署一个ingress-nginx,由于该ingress的pod的启动需要联通主机的api-server,由于主机网络与vpc下下子网做了隔离,不能直接联通,所以通过vpc-nat-gw网关配置floatingip和eip规则的方式出网,一个vpc下一个vpc-nat-gw(属于一个单独默认子网),其他子网出网都使用这个网关

基于开源kube-ovn基于进行了二次开发,使其支持跨集群的自定义vpc网络

现象:出现了网关连通性时好时坏的现象

  1. 有时一切正常,包括ingress的pod(即所在子网)跨集群
  2. 创建时直接就不通,ingress的pod起不来,重启vpc-nat-gw的pod之后就通了,变得正常
  3. 创建时是联通的,有时向改vpc下其他子网添加规则,也就是更新vpc-nat-gw时变得不通的,之前通的子网部分也同时不通了

配置floatingip生效的pod内配置

[root@host-master ~]# kubectl exec -it vpc-nat-gw-vpc-default-xuan-test-1-ngw-67fb65f6f9-5grsj -n kube-system sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/kube-ovn # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: net1@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether f6:4a:e3:21:11:af brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.184.1/24 scope global net1
       valid_lft forever preferred_lft forever
    inet 192.168.184.2/24 scope global secondary net1
       valid_lft forever preferred_lft forever
    inet 192.168.184.3/24 scope global secondary net1
       valid_lft forever preferred_lft forever
11138: eth0@if11139: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc noqueue state UP group default 
    link/ether 00:00:00:c3:71:b4 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.0.254/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever

Chain EXCLUSIVE_DNAT (2 references)
 pkts bytes target     prot opt in     out     source               destination         
   91  5484 DNAT       all  --  *      *       0.0.0.0/0            192.168.184.1        to:192.168.0.253
   32  1920 DNAT       all  --  *      *       0.0.0.0/0            192.168.184.2        to:192.168.1.253
   44  2640 DNAT       all  --  *      *       0.0.0.0/0            192.168.184.3        to:192.168.2.253
   
/kube-ovn # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.184.0   0.0.0.0         255.255.255.0   U     0      0        0 net1
/kube-ovn # iptables -t nat -nvL
............
Chain EXCLUSIVE_SNAT (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    2   120 SNAT       all  --  *      *       192.168.0.253        0.0.0.0/0            to:192.168.184.1
    1    60 SNAT       all  --  *      *       192.168.1.253        0.0.0.0/0            to:192.168.184.2
    1    60 SNAT       all  --  *      *       192.168.2.253        0.0.0.0/0            to:192.168.184.3

配置floatingip未生效的pod内配置

可以ping通内部pod ip,但是第二条规则不完整, route -n 路由规则没有,iptables -t nat -nvL的SNAT,DNAT规则没有

[root@host-master ~]# kubectl exec -it vpc-nat-gw-vpc-subnet-test-2-ngw-65ddfbcc67-wh5cw -n kube-system sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/kube-ovn # ping 192.168.1.253
PING 192.168.1.253 (192.168.1.253) 56(84) bytes of data.
64 bytes from 192.168.1.253: icmp_seq=1 ttl=63 time=1.68 ms
^C
--- 192.168.1.253 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.682/1.682/1.682/0.000 ms
/kube-ovn # ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: net1@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether b2:bd:6a:31:f0:28 brd ff:ff:ff:ff:ff:ff link-netnsid 0
11466: eth0@if11467: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc noqueue state UP group default 
    link/ether 00:00:00:a2:df:a4 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.255.254/30 brd 192.168.255.255 scope global eth0
       valid_lft forever preferred_lft forever


/kube-ovn # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.184.0   0.0.0.0         255.255.255.0   U     0      0        0 net1

vpc内部pod的日志

timeout,联通不到外部api-server,网关设置没成功,pod也未重启
日志有很多,所以不断重连

E0507 06:52:45.736777       7 reflector.go:153] k8s.io/ingress-nginx/internal/ingress/controller/store/store.go:181: Failed to list *v1beta1.Ingress: Get https://10.233.0.1:443/apis/networking.k8s.io/v1beta1/ingresses?limit=500&resourceVersion=0: dial tcp 10.233.0.1:443: i/o timeout

pod内是可以访问本地服务的

说明:pod先启动成功了,后来网关发生变动不再联通,因此该pod也未进行重启,只是不断重连,所以有了上述的日志

[root@host-master ~]# kubectl exec -it elb-vuqkb -n ns-subnet3 sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/etc/nginx $ curl 127.0.0.1
/etc/nginx $ curl 127.0.0.1
default backend - 404/etc/nginx $ curl 192.168.1.253

总结:

由于vpc-nat-gw的不稳定性(有时联通,有时不通)从而出现了上述现象

o!xiaoxuan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ansible-role-aws-vpc-nat
05-12
该角色能够为每个VPC和每个子网创建任意数量的NAT网关。 要求 Ansible 2.5 附加变量 可以使用的其他变量(作为host_vars / group_vars或通过命令行args使用): 多变的 描述 aws_vpc_nat_profile 使用的Boto个人...
aws-lambda-vpc-nat-examples:使用VPCNAT设置AWS lambda函数的示例
01-30
可以访问Internet的无服务器VPC示例 使用VPCNAT设置AWS lambda函数的示例,其中lambda函数可以与您的AWS服务对话,也可以与Web对话 建筑 建立 yarn install yarn dev 部署 yarn deploy 贡献 始终欢迎贡献者和PR!
Kube-OVN子网
任我行的博客
12-04 954
子网是 Kube-OVN 中的一个核心概念和基本使用单元,Kube-OVN 会以子网来组织 IP 和网络配置,每个 Namespace 可以归属于特定的子网, Namespace 下的 Pod 会自动从所属的子网中获取 IP 并共享子网的网络配置(CIDR,网关类型,访问控制,NAT控制等)。在 Kube-OVN 中子网为一个全局的虚拟网络配置,同一个子网的地址可以分布在任意一个节点上。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aSnfoZgU-1670161299418
公网NAT网关与VPC NAT网关介绍与实践
富贵的博客
03-10 1123
混合云趋势下的公网NAT网关与VPC NAT网关实践
aws vpc的知识点汇总
blogzhoubo的博客
05-10 1460
VPC是virtual private cloud的缩写,也就是在aws的公有云内部创建虚拟私有云。相当于在公网上构建自己的局域网。   region内部有多个available zone vpc存在于某个region内,并且可以横跨多个AZ vpc内部可以再细分出多个subnet,每个subnet存在于某个AZ内 subnet之间通过router进行路由通信 每个subnet都有...
k8s 1.22 安装ingress报错the server could not find the requested resource
任我行的博客
02-22 6013
现象: E0222 09:05:53.330760 7 reflector.go:153] k8s.io/ingress-nginx/internal/ingress/controller/store/store.go:181: Failed to list *v1beta1.Ingress: the server could not find the requested resource E0222 09:05:54.333234 7 reflector.go:153] k8s.i
k8s 安装 ingress-nginx
mingqing的博客
08-31 5664
k8s 安装 ingress-nginx
chef-aws-vpc-nat-instance:一本健全的 VPC NAT 实例厨师食谱
06-16
aws-vpc-nat-i​​nstance-cookbook 这是一个简单的食谱,用于设置 NAT 实例,并另外在亚马逊中设置关闭实例的源目标检查。 支持的平台 Ubuntu 12.04 属性 钥匙 类型 描述 默认 ['aws-vpc-nat-i​​nstance']['...
ansible-nat:AWS VPCNAT 机器角色
07-12
**Ansible-NAT 角色详解:构建AWS VPC中的NAT网关** Ansible 是一个流行的自动化工具,尤其在IT基础设施配置和管理方面。它允许管理员通过编写简洁的YAML格式的剧本来自动化复杂的任务,如服务器部署、配置管理和...
terraform-aws-vpc-peering:用于在AWS中配置VPC对等连接的Terraform模块
02-03
标题:“terraform-aws-vpc-peering:用于在AWS中配置VPC对等连接的Terraform模块” 描述:“terraform-aws-vpc-peering是Terraform的一个模块,专门设计用来在Amazon Web Services(AWS)环境中创建Virtual ...
ingress-controller 源码分析
qq_38454637的博客
07-28 523
主要逻辑 nginx controller 入口函数 // file:k8s.io/ingress-nginx/nginx/main.go func main() { // step1: 初始化日志组件 klog.InitFlags(nil) ...... // step2:创建必要的目录 err = file.CreateRequiredDirectories() ...... // step 3 :初始化ApiserverC
NAT网关
云计算、数据库、大数据、容器、微服务、深度学习、NLP、Python
06-25 487
待更新。
VPC学习笔记
cisco_eigrp的博客
03-29 6543
Virtual Port Channels 用途:扩展port-channel,将连接不同设备链路汇聚成一条逻辑的链路。(个人理解) 支持设备:N5K、N7K、N2K   优势: 设备级别冗余,收敛速度比STP快(无STP) 去除了STP BLOCK端口,提供无环路网络 更好的带宽利用(线路能负载均衡) 注意:VPC只能用于二层,VPC端口不能运行路由协议。
虚拟网络VPC
jj1130050965的博客
07-17 3967
注:本文主要是参考AWS的官网的文档。 0.前言 在本公众号的前面的文章中,简要介绍了云网络的产品,本系列云网络科普文章会详细介绍云网络产品,主要是包括私有网络、专线接入、VPN等产品,也会介绍各个云厂商的差异点。 1. VPC简介 私有网络Virtual Private Cloud (VPC)是用户构建的专属网络空间,云上的资源可以部署到虚拟网络中,和数据中心中运行的传统网络极其相似。不同私有网络间完全逻辑隔离。用户可以自定义网络环境、包括选择自己的 IP 地址范围、创建子网以及.
灵雀云Kube-OVN:基于OVN的开源Kubernetes网络实践
weixin_34179762的博客
05-14 608
近日,灵雀云发布了基于OVN的Kubernetes网络组件Kube-OVN,并正式将其在Github上开源。Kube-OVN提供了大量目前Kubernetes不具备的网络功能,并在原有基础上进行增强。通过将OpenStack领域成熟的网络功能平移到Kubernetes,来应对更加复杂的基础环境和应用合规性要求。 目前Kube-OVN项目代码已经在Github 上开源,项目地址为:github.co...
aws-vpc-nat网关(私有子网访问Internet)
大鹅的博客
11-01 1240
ssh测试 :(可以通过同一vpc,有公网的机器ssh 密钥文件的方式登录私网机器)查看私网机器出网ip 即为nat网关地址。记得安全组放开,以及子网的acl策略。
K8S 源码探秘 之 nginx-ingress 工作原理分析
shida's blog
11-14 1万+
一、引言        Nginx-ingress 是 Kubernetes 生态中的重要成员,主要负责向外暴露服务,同时提供负载均衡等附加功能;        截至目前,nginx-ingress 已经能够完成 7/4 层的代理功能(4 层代理基于 ConfigMap,感觉还有改进的空间);        Nginx 的 7 层反向代理模式,可以简单用下图表示:            ...
生产环境k8s环境执行yaml文件部署ingress服务镜像拉取不下来(所有其他的镜像拉取失败均可以使用此方案解决)解决方案之一
热门推荐
前路无畏的博客
11-26 1万+
在生产环境,由于网络重重阻扰,很多时候我们很难拿到yaml中的镜像,下面以实际实例的形式介绍一种处理的方法。这里以此为例,一斑窥豹,让你知道怎么解决类似问题。 1. 问题提出 在k8s环境中需要安装ingress_nginx controller进行代理(具体为什么要装或者他是干什么的看到这个文章你应该知道了吧),ingress_nginx.yaml文件你应该不难拿到吧。即使如此,最后面会给出完整版的文字版执行的yaml,放在前面不太友好,哈哈哈! 如果几分钟pod还没有running状态,就使用命令看一
vpc-cni查询pod
最新发布
07-28
VPC-CNI (Virtual Private Cloud Container Network Interface) 是一种用于在云环境中部署 Kubernetes网络插件。它提供了将 Kubernetes Pod 直接连接到 VPC 网络的能力,使得 Pod 可以使用 VPC 内的 IP 地址和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值