如何从互联网访问k8s集群中的服务以及如何排错

最新推荐文章于 2023-05-24 15:27:57 发布
最新推荐文章于 2023-05-24 15:27:57 发布
阅读量692 收藏 1
点赞数
文章标签: 运维 后端 操作系统
原文链接:https://juejin.im/post/5ca5f7336fb9a05e15301081
版权

使用 traefik-ingress方案。ingress配置了自定义域名,无法访问。

背景 客户的服务申请了pingan.com集团二级域名,并配置到应用的 ingress 中,但是访问不了

排错步骤

  1. 二级域名 pingan.com(本例) 属于外网 DNS 记录,公司办公网络解析不到地址,因此需要先判断 DNS 寻址是否正常。
  2. 如果 DNS 解析不到 IP 地址,则需要客户向网络组确认是否成功添加记录。
  3. 确认从域名到服务的网络路径。
  4. 依次判断网络是否连通,后端服务是否正常。

下面是客户在servicebot上申请的域名解析:

urlvip
xxx.pingan.comxxx.xxx.xxx.xxx

可以看到解析出了正确地址。

域名到服务的网络路径:

Kubernetes_web-service_flow

过程解释: 通常客户的应用需要提供对互联网的服务,都需要部署在 DMZ 网络区域中。

  1. 客户通过网络组申请了公网域名,公网域名对应一个公网 IP(e.g. xxx.28.212.56),公网 IP 将流量转发到 VIP。
  2. ELB(负载均衡)在云平台上购置,会产生一个VIP,这个VIP将前端过来的流量转发到客户的 node 节点上。
  3. 在 node 上运行 traefik,监听 80 端口,接收来自 VIP 的请求。 traefik 将接收到的请求丢给apiserver,实际上 traefik 担任 ingress controller。
  4. traefik 和 Kubernetes API 实时地打交道,获取 ingress 的信息,从而得知具体的 URL 与 service 对应关系。
  5. traefik 将请求转发到后端 service。

通过命令验证:

# 首先要看 VIP 是否可访问
# 这里例子是可访问的,当然就没问题了
[root@SHB-L0117161 ~]# telnet xxx.128.118.241 80
Trying xxx.128.118.241...
Connected to xxx.128.118.241.
Escape character is '^]'.
exit

复制代码

1.验证VIP是否可访问,注意要在VIP所在网段,否则可能没有开通防火墙。

# traefik label
# 215.128.118.201 是 VIP 转发过来的其中一个 node
[root@SHB-L0075967 ~]# kubectl get nodes -o=wide --show-labels | sed -n '1p;/215\.128\.118\.201/p'
NAME              STATUS     ROLES     AGE       VERSION   EXTERNAL-IP   OS-IMAGE                  KERNEL-VERSION               CONTAINER-RUNTIME   LABELS
215.128.118.201   Ready      <none>    42d       v1.9.1    <none>        CentOS Linux 7 (Core)     3.10.0-693.21.1.el7.x86_64   docker://17.5.0     CAAS_LOG_CLOUD=INSTALLING,beta.kubernetes.io/arch=amd64,beta.kubernetes.io/os=linux,caas_cluster=shb-dmz-fp-core-stg-106593af,host_name=SHB-L0117161,kubernetes.io/hostname=215.128.118.201,lb=traefik
[root@SHB-L0075967 ~]# kubectl get pods -o=wide --namespace=kube-system | sed -n '1p;/215\.128\.118\.201/p'
NAME                                      READY     STATUS             RESTARTS   AGE       IP                NODE
caas-log-helper-2hvqt                     1/1       Running            0          42d       172.1.115.2       215.128.118.201
traefik-ingress-lb-4z76b                  1/1       Running            0          5d        215.128.118.201   215.128.118.201
[root@SHB-L0075967 ~]#
复制代码

2.查看 VIP 的后端 node IP是否有运行 traefik,这里只查看了其中一个节点,如上图所示的三个节点都必须要有运行才正常。

[root@SHB-L0117161 ~]# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 215.128.118.201  netmask 255.255.255.192  broadcast 215.128.118.255
        inet6 fe80::453:7aff:fe01:d3d3  prefixlen 64  scopeid 0x20<link>
        ether 06:53:7a:01:d3:d3  txqueuelen 1000  (Ethernet)
        RX packets 18242994  bytes 11646816745 (10.8 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 17043276  bytes 25852317409 (24.0 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@SHB-L0117161 ~]# lsof -i :80
COMMAND   PID USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
traefik 23819 root    3u  IPv6 64172224      0t0  TCP *:http (LISTEN)
[root@SHB-L0117161 ~]#
复制代码

3.查看node上 traefik 是否正常监听,到这一步都正常,且确保防火墙开通的话,那浏览器过来的请求就已经到达 k8s 集群中了,剩下的就是 k8s 集群通过 ingress 组件找到具体服务。

# ingress
[root@SHB-L0075967 ~]# kubectl get ingresses -o=wide --namespace=shb-dmz-fp-core-stg-106593af
NAME                    HOSTS                      ADDRESS   PORTS     AGE
fp-core-outer-gateway   ifin-emp-stg1.pingan.com             80        17d
ises-ds-service         *                                    80        12d
[root@SHB-L0075967 ~]# kubectl -o=yaml get ingresses fp-core-outer-gateway --namespace=shb-dmz-fp-core-stg-106593af
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  creationTimestamp: 2018-10-12T03:58:19Z
  generation: 1
  name: fp-core-outer-gateway
  namespace: shb-dmz-fp-core-stg-106593af
  resourceVersion: "51549923"
  selfLink: /apis/extensions/v1beta1/namespaces/shb-dmz-fp-core-stg-106593af/ingresses/fp-core-outer-gateway
  uid: 0e12b199-cdd3-11e8-9a84-06f8b40001a8
spec:
  rules:
  - host: xxxx-emp-stg1.pingan.com
    http:
      paths:
      - backend:
          serviceName: fp-core-outer-gateway
          servicePort: 8088
        path: /
status:
  loadBalancer: {}
复制代码

4.验证一下 ingress 中所配置的 URL 与 后端 service 的对应关系是否正确。

**PS. 本次举例的问题最后排查到是三台负责负载的客户 node 的其中一台上,flanneld 组件挂了,导致 ELB 判断服务不可用。所以必须保证负载节点所有节点服务一直正常。换句话说,ELB 只管负载均衡,不管高可用。 **

Ingress简介:

  • 理解 Ingress 简单的说,Ingress 就是从 Kubernetes 集群外访问集群的入口,将用户的 URL 请求转发到不同的 service 上。Ingress 相当于 nginx、apache 等负载均衡反向代理服务器,其中还包括规则定义,即 URL 的路由信息,路由信息的刷新由 Ingress controller 来提供。
  • 理解 Ingress Controller Ingress Controller 实质上可以理解为是个监视器,Ingress Controller 通过不断地跟 Kubernetes API 打交道,实时地感知后端 service、pod 等变化,比如新增和减少 pod,service 增加和减少等;当得到这些变化信息后, Ingress Controller 再结合 Ingress 生产配置,然后更新反向代理负载均衡器,并刷新其配置,达到服务发现的作用。

介绍 Traefik: Traefik 是一款开源的反向代理与负载均衡工具。它最大的优点是能够与常见的微服务系统直接整合,可以实现自动化动态配置。目前支持Docker, Swarm, Mesos/Marathon, Mesos, Kubernetes, Consul, Etcd, Zookeeper, BoltDB, Rest API等等后端模型。

weixin_34255793
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s 之如何从集群外部访问内部服务的三种方法
依串烤肉
03-31 5629
1. k8s集群三种IP(NodeIP、PodIP、ClusterIP) 1.1 三种 IP 定义 Node IP:Node 节点的 IP 地址,即物理机(虚拟机)的 IP 地址。 Pod IP:Pod 的 IP 地址,即 docker 容器的 IP 地址,此为虚拟 IP 地址。 Cluster IP:Service 的 IP 地址,此为虚拟 IP 地址。 1.2 三种 IP 的理解 No...
记一次k8s service设置nodeport访问外网失败案例
qq_45034687的博客
11-07 1404
今天有一个项目做service nodeport转发,结果设置完之后发现外网访问失败。curl: (7) Failed connect to 192.168.213.138:31234; Connection refused
k8s部署nginx-ingress实现外部访问k8s集群内部服务
weixin_45112997的博客
05-24 3680
k8s部署nginx-ingress实现外部访问k8s集群内部服务
K8s集群IP地址变更
tun456的博客
04-10 579
IPADDR1=192.168.0.86 ##原IP地址。PREFIX1=16 ###不同网段,添加路由转发。查看网卡信息是否有新的IP地址和原IP地址。可以看到当前使用的网卡。验证IP地址是否生效。在进行相互ping。
开发必会的K8S服务问题排查三板斧
帷幄庸者的博客
10-25 411
各种查,查namespace、pod、service、config: kubectl get namespace kubectl get po -n namespace名称 # 列出带有端口详细信息的pod信息 kubectl get po -n namespace名称 -owide kubectl get service -n namespace名称 kubectl get configMap...
K8S集群服务blackbox-exporter接口监控
01-18
原文链接:https://blog.csdn.net/m0_37814112/article/details/122503583?spm=1001.2014.3001.5501
docker容器化+k8s集群部署教程以及springboot+vue部署示例
04-11
本文介绍VMware虚拟机下centos7操作系统如何安装云原生 Kubernetes(k8s)集群、k8s可视化界面kuboard,以及如何利用docker容器化将springboot+vue项目在k8s集群部署运行。
内网服务器加入k8s集群部署文件
02-18
内网服务器加入Kubernetes(k8...总结,内网服务器加入K8s集群的部署是一项涉及多层面的技术任务,需要深入理解K8s架构、网络原理以及安全策略。每个环节都需要仔细规划和执行,以构建一个高效、安全的容器化应用平台。
在centos 7安装配置k8s集群的步骤详解
01-20
kubernetes是google开源的容器集群管理系统,提供应用部署、维护、扩展机制等功能,利用kubernetes能方便管理跨集群运行容器化的应用,简称:k8s(k与s之间有8个字母) 为什么要用kubernetes这么复杂的docker集群...
k8s集群环境搭建资源
最新发布
10-27
5. **Service**:Service是k8s的一种对象,它定义了一种访问Pod的方式,通常是通过标签选择器来选择一组Pod。Service提供了稳定的IP和DNS名称,即使Pod实例发生变化,Service仍然可以持续提供服务。 6. **存储**...
k8s-集群里的三种IP(NodeIP、PodIP、ClusterIP)
热门推荐
新林的博客
09-25 12万+
初学k8s,对集群里面的IP真的不是很理解,一会是PodIP,一会是ClusterIP,总结一下这些IP。 Kubernetes集群里有三种IP地址,分别如下: Node IP:Node节点的IP地址,即物理网卡的IP地址。 Pod IP:Pod的IP地址,即docker容器的IP地址,此为虚拟IP地址。 Cluster IP:Service的IP地址,此为虚拟IP地址。 Node IP 可以...
一文读懂k8s的外网访问方式,Ingress/NodePort/LoadBanlancer
mukewangguanfang的博客
04-10 2921
在k8s创建的微服务,大部分都是在集群内部互相调用,这时候,使用DNS就可以很方面访问。 比如:服务名是 my-service,端口号是8080,命名空间是yifan,那么就可以通过域名+端口 “my-service.yifan.svc.cluster.local:8080” 在集群内访问。 当然,也可以直接用服务的ClusterIP+服务的端口号,只是这么使用的较少。 DNS解析到的IP也就是这个服务的ClusterIP,只是咱们不需要记住ClusterIP,记住服务名对应的域名更加容易。
k8s查看集群信息及基本命令
日拱一卒无有尽,功不唐捐终入海
03-22 3万+
kubectl version:查看 k8s 版本信息。 kubectl cluster-info:查看 k8s 集群信息,包括 API Server 的地址和版本以及控制平面组件的状态。 kubectl get nodes:查看集群的节点信息,包括节点名称、IP 地址、状态和运行时间等。 kubectl get pods:查看当前命名空间下的 Pod 信息,包括 Pod 名称、所属节点、容器状态、IP 地址等。 kubectl get services:查看当前命名空间下的 Service 信息
kubernetes(k8s)部署微服务并通过ingress实现外部访问
liaomingwu的专栏
04-16 7372
kubernetes(k8s)部署微服务并通过ingress实现外部访问
如何在Kubernetes暴露服务访问
weixin_34001430的博客
01-03 1080
Kubernetes概述 最近的一年,kubernetes的发展如此闪耀,正被越来越多的公司采纳用于生产环境的实践。同时,我们可以在最著名的开发者问答社区StackOverflow上看到k8s的问题数量的增长曲线(2015.5-2016.5),开发者是用脚投票的,从这一点看也无疑证明了k8s的火爆程度。 k8s来源于Google生产环境...
从集群外访问k8s的pod 的几种方式--hostNetwork
weixin_34034670的博客
08-23 2557
前言 有5种方法可以让集群外访问运行在Kubernetes集群上的应用程序(pod)。接下来我们详细讨论Kubernetes的hostNetwork,hostPort,NodePort,LoadBalancer和Ingress功能。本章内容主要解读一下hostNetwork。 hostNetwork demo hostNetwork设置...
使用k8s集群内解析服务
weixin_33749131的博客
05-18 2964
curl https://saas-pay-gray.XXX.cn/ping 外网 curl https://vpc-saas-pay-gray.XXX.cn/ping slb,即阿里云内网 1/3包是通的 当时设计slb(vpc)的时候考虑到具体功能,除了日常使用使用内网拉取容器镜像的功能之外,是否还有其他? 由于公司架构使用了k8s集群,k8s内部有做了一套完整...
k8s集群外访问集群内pod服务的几种方式
tuonian的博客
05-25 6838
一、hostPort或hostNetwork 此种方式直接将pod内部端口映射到部署pod的主机上,外部访问通过主机IP+端口直接访问pod; hostPort vim nginx-test.yaml apiVersion: apps/v1 kind: Deployment metadata: name: nginx-test namespace: default spec: replicas: 1 selector: matchLabels: app.name
K8s集群Prometheus+Grafana监控系统部署指南
“k8s部署prometheus+grafana监控.pdf”描述了如何在Kubernetes(k8s)环境部署Prometheus和Grafana监控系统,包括创建命名空间、配置集群角色以及安装相关组件。 在Kubernetes部署Prometheus和Grafana监控是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值