traefik ingress troubleshooting

最新推荐文章于 2021-07-15 14:16:18 发布
最新推荐文章于 2021-07-15 14:16:18 发布
阅读量246 收藏
点赞数
文章标签: 网络 后端 运维
原文链接:https://juejin.im/post/5ca5f49de51d451721149d9d
版权

理解ingress

通常情况下,service和pod仅可在集群内部网络中通过IP地址访问。所有到达边界路由器的流量或被丢弃或被转发到其他地方。从概念上讲,可能像下面这样:

    internet
        |
  ------------
  [ Services ]
复制代码

Ingress是授权入站连接到达集群服务的规则集合

    internet
        |
   [ Ingress ]
   --|-----|--
   [ Services ]
复制代码

简单来讲,ingress是集群外访问集群内服务的入口,为方便起见,可以当成是一个web应用的gateway,例如一个nginx,其中还包括规则定义,即URL的路由信息,路由信息得的刷新由Ingress controller来提供。

理解traefik

Ingress Controller 实质上可以理解为是个监视器,Ingress Controller 通过不断地跟 kubernetes API 打交道,实时的感知后端 service、pod 等变化,比如新增和减少 pod,service 增加与减少等;当得到这些变化信息后,Ingress Controller 再结合下文的 Ingress 生成配置,然后更新反向代理负载均衡器,并刷新其配置,达到服务发现的作用。

事件经过

客户反馈,确认服务正常,在集群内可访问,单通过ingress访问不了。 于是到集群上调查。

  • ingress的内容

    $ kubectl get ing --all-namespaces | sed -n '1p;/rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn/Ip'
  NAMESPACE                            NAME                                                    HOSTS                                                                         ADDRESS   PORTS     AGE
  sze-sf-paihe-platform-stg-ac0d1270   rule-service-19969-pafa-cloud-microservice-ingress      rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn                 80        8d
$ kubectl describe ing rule-service-19969-pafa-cloud-microservice-ingress -n sze-sf-paihe-platform-stg-ac0d1270
  Name:             rule-service-19969-pafa-cloud-microservice-ingress
  Namespace:        sze-sf-paihe-platform-stg-ac0d1270
  Address:
  Default backend:  default-http-backend:80 (<none>)
  Rules:
    Host                                                                     Path  Backends
    ----                                                                     ----  --------
    rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn
                                                                             /   rule-service-19969-pafa-cloud-microservice-svc:8080 (<none>)
  Annotations:
  Events:  <none>
复制代码

    得知ingress的backend为此服务: rule-service-19969-pafa-cloud-microservice-svc:8080 。

  • service的内容

    $  kubectl describe svc rule-service-19969-pafa-cloud-microservice-svc -n sze-sf-paihe-platform-stg-ac0d1270
   Name:              rule-service-19969-pafa-cloud-microservice-svc
   Namespace:         sze-sf-paihe-platform-stg-ac0d1270
   Labels:            app=pafa-cloud-microservice
                      chart=pafa-cloud-microservice-1.2.0
                      component=microservice
                      group=pafa-cloud
                      heritage=Tiller
                      release=rule-service-19969
   Annotations:       <none>
   Selector:          app=pafa-cloud-microservice,component=microservice,release=rule-service-19969
   Type:              ClusterIP
   IP:                172.254.8.110
   Port:              http  8080/TCP
   TargetPort:        8080/TCP
   Endpoints:         172.1.23.10:8080,172.1.23.9:8080
   Session Affinity:  None
   Events:            <none>
复制代码

    得知service ip,经过验证发现在集群内访问service ip确实没有问题。 那为什么ingress访问就会返回404呢? 我们的集群中配置了一个泛域名,如下图:

    泛域名对应的ELB vip绑定的后端是集群的system-node,在system-node上运行traefik来作为集群外访问集群内的gateway。所以检查一下system-node的traefik日志。

  • traefik的内容

    $ ping rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn
  PING rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn (30.99.3.130) 56(84) bytes of data.
  64 bytes from 30.99.3.130 (30.99.3.130): icmp_seq=1 ttl=255 time=0.128 ms
  64 bytes from 30.99.3.130 (30.99.3.130): icmp_seq=2 ttl=255 time=0.118 ms
  64 bytes from 30.99.3.130 (30.99.3.130): icmp_seq=3 ttl=255 time=0.109 ms
$ kubectl get ds -n kube-system -o wide | sed -n '1p;/ingress/Ip'
  NAME                      DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR                                           AGE         CONTAINERS                IMAGES                                       SELECTOR  
  traefik-ingress-lb        2         2         2         2            2             caas_cluster=kube-system                                70d         traefik-ingress-lb        hub.yun.paic.com.cn/official/traefik:1.5.3   k8s-app=traefik-ingress-lb,name=traefik-ingress-lb  
  traefik-ingress-lb-user   2         2         2         0            2           caas_cluster=sze-sf-cif2-sync-prd-95e8e362,lb=traefik   39d         traefik-ingress-lb-user   hub.yun.paic.com.cn/official/traefik:1.5.3   k8s-app=traefik-ingress-lb-user,name=traefik-ingress-lb-user
复制代码

    可以看到kube-system这个namespace下有2个关于traefik的daemonset。nodeSelector的条件为caas_cluster=kube-system将会使pod运行在system-node上。

    $ kubectl -n kube-system get po -o wide -l k8s-app=traefik-ingress-lb,name=traefik-ingress-lb
NAME                       READY     STATUS    RESTARTS   AGE       IP           NODE
traefik-ingress-lb-p4cjp   1/1       Running   0          6d        30.99.3.12   30.99.3.12
traefik-ingress-lb-xjj2n   1/1       Running   0          6d        30.99.3.15   30.99.3.15
$ kubectl describe ds traefik-ingress-lb -n kube-system
Name:           traefik-ingress-lb
Selector:       k8s-app=traefik-ingress-lb,name=traefik-ingress-lb
Node-Selector:  caas_cluster=kube-system
Labels:         k8s-app=traefik-ingress-lb
Annotations:    kubectl.kubernetes.io/last-applied-configuration={"apiVersion":"extensions/v1beta1","kind":"DaemonSet","metadata":{"annotations":{},"creationTimestamp":"2018-12-19T08:23:53Z","generation":1,"labels":{...
Desired Number of Nodes Scheduled: 2
Current Number of Nodes Scheduled: 2
Number of Nodes Scheduled with Up-to-date Pods: 2
Number of Nodes Scheduled with Available Pods: 2
Number of Nodes Misscheduled: 0
Pods Status:  2 Running / 0 Waiting / 0 Succeeded / 0 Failed
Pod Template:
Labels:           k8s-app=traefik-ingress-lb
                  name=traefik-ingress-lb
Service Account:  ingress
Containers:
 traefik-ingress-lb:
  Image:  hub.yun.paic.com.cn/official/traefik:1.5.3
  Ports:  80/TCP, 8580/TCP
  Args:
    --web
    --web.address=:8580
    --kubernetes
    --accesslog.filepath=/wls/logs/traefik/access.log
    --traefiklog.filepath=/wls/logs/traefik/traefik.log
  Limits:
    cpu:     1
    memory:  200Mi
  Requests:
    cpu:        100m
    memory:     20Mi
  Environment:  <none>
  Mounts:
    /wls/logs from logs (rw)
  Volumes:
   logs:
    Type:          HostPath (bare host directory volume)
    Path:          /wls/logs
    HostPathType:
Events:            <none>
复制代码

    30.99.3.12, 30.99.3.15这2个node就是我们系统中的system-node,进一步看看traefik的配置项,得知其日志输出到宿主机的/wls/logs/目录中,于是登录到节点上调查一下日志。

    $ ifconfig eth0| grep -i "inet .*[0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+"| sed -e 's@\s\+@ @g' -e 's@addr:@@g'| cut -d' ' -f3
30.99.3.15
$ ls -lh /wls/logs/traefik/access.log
-rw-r--r-- 1 root root 158M Apr  3 12:41 /wls/logs/traefik/access.log
$ grep -i 'rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn' /wls/logs/traefik/access.log
30.99.237.17 - - [26/Mar/2019:03:00:36 +0000] "GET /favicon.ico HTTP/1.1" - - "http://rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36" 8855 - - 0ms
30.99.237.27 - - [27/Mar/2019:04:23:19 +0000] "GET /favicon.ico HTTP/1.1" - - "http://rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.62 Safari/537.36" 9902 - - 0ms
30.99.237.18 - - [27/Mar/2019:06:11:54 +0000] "GET /favicon.ico HTTP/1.1" - - "http://rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36" 9991 - - 0ms
30.99.237.25 - - [27/Mar/2019:14:18:33 +0000] "GET /favicon.ico HTTP/1.1" - - "http://rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36" 10392 - - 0ms
30.99.237.18 - - [27/Mar/2019:14:29:29 +0000] "GET /favicon.ico HTTP/1.1" - - "http://rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36" 10430 - - 0ms
复制代码

    到其中一台system-node(30.99.3.15)上看到traefik的访问日志中,确实有收到访问rule-service.sze-sf-paihe-platform-stg-ac0d1270.sze-sf-caas.paic.com.cn的请求请求,但是没有返回状态码,也没有获取到backend。 因为在k8s集群中使用traefik作为外部入口gateway,需要让traefik的pod有权限访问k8s api,这其中涉及到3个对象。

    pod_access-to_k8s-api

当前CaaS的k8s集群架构中如何使用traefik

为了方便阅读,省略掉不相关的信息了。

  • traefik的daemonSet中使用了一个名为ingress的serviceAccount。这个serviceAccount属于namespace/kube-system。
  • serviceAccount又与一个名为ingress的ClusterRoleBinding相关联,它的subject属性是一个列表,里面放的是serviceAccount。这个ClusterRoleBinding又配置了一个ClusterRole,大概是拥有集群管理员级别的api访问权。
  • 最后在traefik的daemonSet中又配置了名为ingress的serviceAccount(如果不单独配置SA,每个pod也会拥有一个默认的serviceAccount,由k8s自动配置,但权限没有这么大)。
    apiVersion: v1
kind: ServiceAccount
metadata:
  name: ingress
  namespace: kube-system
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: ingress
subjects:
  - kind: ServiceAccount
    name: ingress
    namespace: kube-system
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: extensions/v1beta1
kind: DaemonSet
metadata:
  name: traefik-ingress-lb
  namespace: kube-system
  labels:
    k8s-app: traefik-ingress-lb
spec:
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
复制代码
    elipsis...
          serviceAccountName: ingress
      nodeSelector:
          caas_cluster: kube-system
复制代码

这里值得注意的是,ClusterRoleBinding这个对象并没有namespace属性,这就是本次事件的问题所在了。 bash $ kubectl get clusterrolebinding -o wide | sed -n '1p;/ingress/Ip' NAME AGE ROLE USERS GROUPS SERVICEACCOUNTS ingress 106d ClusterRole/cluster-admin sze-sf-ehis-renewal-prd-4fc00b7a/ingress ingress-kube-system 7d ClusterRole/cluster-admin kube-system/ingress 名为ingress-kube-system的ClusterRoleBinding是重新创建的,用来给traefik使用kube-system/ingress的ServiceAccount赋予角色。可以观察到在2个namespace下有同样名为ingress的serviceAccount,也就是说有人不小心修改了原本绑定kube-system/ingress的ClusterRoleBinding(笑)。 到此才能使得traefik正常访问到k8s的api。 ※其实在名为ingress的ClusterRoleBinding中添加一个subject,赋予kube-system/ingress角色也可以,单为了方便区分,还是另外创建了一个对象。

参考:

weixin_34303897
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
部署prometheus operator时node-exporter deamonset 出现Desired Number of Nodes Scheduled: 0
wtan825的专栏
02-13 1195
Kubernetes Client Version: version.Info{Major:"1", Minor:"11", GitVersion:"v1.11.5", GitCommit:"753b2dbc622f5cc417845f0ff8a77f539a4213ea", GitTreeState:"clean", BuildDate:"2018-11-26T14:41:50Z",
k8s 自定义dns_k8s中如何配置Traefik作为Ingress Controller暴露服务以及如何排错
weixin_39599317的博客
11-28 318
使用 traefik-ingress方案。ingress配置了自定义域名,无法访问。背景 客户的服务申请了http://pingan.com集团二级域名,并配置到应用的 ingress 中,但是访问不了排错步骤二级域名 http://pingan.com(本例) 属于外网 DNS 记录,公司办公网络解析不到地址,因此需要先判断 DNS 寻址是否正常。如果 DNS 解析不到 IP 地址,则需要客户向...
[剑指Offer]:反转链表
AngelDg的博客
01-19 206
题目描述: 反转一个单链表。 示例: 输入: 1->2->3->4->5->NULL 输出: 5->4->3->2->1->NULL 方法一: 每次将cur后的节点翻至头节点前 void SListReverse(SList * plist){ assert(plist->_head); SListNode * tmp = ...
Kubernetes DaemonSet 控制器
qq_39128254的博客
09-21 1119
什么是 DaemonSet DaemonSet 确保全部(或者一些)Node 上运行一个 Pod 的副本。当有 Node 加入集群时,也会为他们新增一个 Pod 。当有 Node 从集群移除时,这些 Pod 也会被回收。删除 DaemonSet 将会删除它创建的所有 Pod 使用 DaemonSet 的一些典型用法: 运行集群存储 daemon,例如在每个 Node 上运行 glusterd、ceph 在每个 Node 上运行日志收集 daemon,例如fluentd、logstash 在每个 Node
个人用_linux常用命令
weixin_34114823的博客
03-22 426
目录 部署架构 确认网络端口相关 rpm、yum相关 查找文件相关 进程信息相关 停启进程 磁盘清理相关 重定向、管道相关 ansible相关 golang相关 helm 相关 docker 相关 kubernetes 相关 网络 路由 抓包 iptables 相关 # 查看路由网关信息 ip route # ip 地址信息 ip -4 -o addr # tcpdump 指定网卡查看包信息 ...
traefik-1.7.34,k8s安装traefik作为ingress
最新发布
03-28
Traefik是一款流行的开源反向代理和负载均衡器,它被广泛用于容器编排系统,如Kubernetes(k8s)中,以实现服务网格的Ingress控制层。在这个场景中,traefik-1.7.34是Traefik的特定版本,用于在k8s集群中作为Ingress...
k8s部署Ingress Traefik
11-11
k8s部署Ingress Traefik Traefik 是一个流行的开源反向代理和负载均衡器,最近推出了 v2.1 版本。Traefik v2.1 在 Kubernetes 环境下部署和配置需要进行一些准备工作和设置。 知识点1:Traefik 简介 Traefik 是一...
traefik-ingress-example:在AKS中使用Traefik入口控制器进行演示
04-12
Traefik入口示例 在AKS中使用Traefik入口控制器进行演示。 假设: 单个域的基于路径的路由(扩展此示例以处理多个域应该不难) 此处显示的步骤以Azure为中心,但Traefik可在任何Kubernetes集群中使用 已在Ubuntu...
ingress-nginx源码
12-31
ingress-nginx源码分析 ingress在Kubernetes生态系统中扮演着至关重要的角色,它是一个外部网络访问Kubernetes服务的入口控制器。而ingress-nginx是Kubernetes社区中最流行的ingress控制器实现,它基于Nginx web...
ingress controller安装资源
10-19
ingress controller安装镜像和yaml文件
Kubernets traefik代理ws wss应用
saynaihe的博客
07-15 1101
背景: 团队要发布一组应用,springboot开发的ws应用。然后需要对外。支持ws wss协议。jenkins写完pipeline发布任务。记得过去没有上容器的时候都是用的腾讯云的cls 挂证书映射cvm端口。我现在的网络环境是这样的:Kubernetes 1.20.5 安装traefik在腾讯云下的实践(当然了本次的环境是泡在tke1.20.6上面的,都是按照上面是咧搭建的—除了我新建了一个namespace traefik,并将traefik应用都安装在了这个命名空间内!这样做的原因是tke的keb
Kubernetes学习之DaemonSet控制器
Micky_Yang的博客
08-01 579
一、认识DaemonSet控制器   DaemonSet是Pod控制器的又一种实现,用于在集群中的全部节点上同时运行一份指定的Pod资源副本,后续加入集群的工作节点也会自动创建一个相关的Pod对象,当从集群移除节点时,此类Pod对象也将被自动回收而无需重建。管理员也可以使用节点选择器及节点标签指定仅在部分具有特定特征的节点上运行指定的Pod对象。 DaemonSet控制器是一种特殊的控制器,它有特定的应用场景,通常运行那些执行系统级操作任务的应用,其应用场景具体如下:   1)运行集群存储的守护进程,如在
Kubernetes 常用命令及应用实例
司马缸砸缸了
12-17 4517
一. 常用命令 Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 Kubernetes一个核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着(比如用户想让apache一直运行,用户不需要关心
手把手教你使用 Docker部署 spring boot 项目(含源码)
beauty-coding 的博客
04-22 2984
使用 Dockerfile 结合 docker-compose部署 spring boot 项目 1. 环境准备 安装docker 环境 安装构建工具 maven 准备自己的 spring boot 项目 2. docker 下载 jdk镜像 此处使用openjdk:11 docker pull openjdk:11 3. 项目打包 使用maven package 命令 将项目 打成 jar 备用...
Docker部署SpringBoot(十四)
常年被追砍的博客
06-21 205
Docker简介 Docker 是一个开源的应用容器引擎,基于Go 语言并遵从Apache2.0协议开源。 Docker 属于 Linux 容器的一种封装,提供简单易用的容器使用接口。它是目前最流行的 Linux 容器解决方案。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。程序可以在虚拟容器里运行,就好像在真实的物理机上运行一样。有了 Docker,就不用担心环境问题。 总体来说,Docker..
八、海思Soc开启NFS支持
冷饮
09-11 512
为了方便快速开发应用程序,所以可以通过NFS方式在PC主机与设备端搭建一个通道。在默认情况下,海思Soc的系统是没有开启对NFS的支持,以下是介绍开启支持NFS的方法。 1、进入到sdk的linux目录 2、执行以下命令,配置内核 make ARCH=arm CROSS_COMPILE=arm-himix100-linux- menuconfig ...
Kubernetes troubleshooting 常见问题解决思路和方法
锐意工作室
01-24 740
文章目录Kubernetes troubleshooting 常见问题解决思路和方法前言Kubernetes troubleshooting流程图流程图详解Pod为Pending状态Pod为ImagePullBackOff状态Pod为CrashLoopBackOff状态Pod没有ReadyPod状态正常,但是通过Service不能访问到Pod通过Service能访问Pod,但是集群外不能访问PodTroubleshooting命令小结参考文档 Kubernetes troubleshooting 常见问题解
一文搞懂Traefike的可观测性方案,告别"背锅侠"
weichuangxxb的博客
04-12 2370
Traefik的可观测性支持 traefik-observability 注意: 在Traefik-2.X的生态里,将可观测性分为了如下几个部分,并提升到了专门的功能说明中 服务日志: Traefik进程本身相关的操作日志 访问日志: 由Traefik接管的代理服务的访问日志(access.log) Metrics: Traefik提供的自身详细的metrics数据 Tracing: ...
kubernetes之hyperkube方式安装文档-部署k8s集群监控prometheus-operator(五)
纵横四海的博客
06-21 3574
在上一编文章部署kubernetes集群成功之后,接下来就是部署监控系统了,本编博客主要是基于coreos开源的prometheus-operator监控系统,该监控系统比较全面,主要是已经搞定了grafana的监控模版,废话不多说,接下来就进入正题: 下载v0.16.0.tar.gz release版本的prometheus-operator,然后解压(也可以下载源码自行编译) wget h...
ingress-nginx traefik
09-28
ingress-nginx 和 traefik 都是常见的 Kubernetes Ingress Controller,用于管理和路由进入集群的流量。ingress-nginx 是基于 nginx 服务的 Ingress Controller,支持 http 和 https 协议。具体而言,它是由 k8s ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值