kubernetes 两个 node 的pod 无法互相访问_Kubernetes项目实战 十问十答

最新推荐文章于 2023-12-25 09:57:25 发布
最新推荐文章于 2023-12-25 09:57:25 发布
阅读量573 收藏 1
点赞数
文章标签: kubernetes 两个 node 的pod 无法互相访问
5b9572a2fe9061cb37c0531f43a85541.png

Kubernetes简介

Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署、规划、更新、维护的一种机制。通常,把Kubernetes看作Docker的上层架构,Kubernetes以Docker为基础打造了一个云计算时代的全新分布式系统架构。Kubernetes架构中不仅仅只支持Docker一种容器,还支持另一种容器技术Rocket。

a434ca81aaafb6618d0eb4b676265118.png

Kubernetes的优势

1.易学:轻量级,简单,容易理解;

2.便携:支持公有云,私有云,混合云,以及多种云平台;

3.可扩展:模块化,可插拔,支持钩子,可任意组合;

4.自修复:自动重调度,自动重启,自动复制。

在项目实战中,贝斯平的技术专家整理了Kubernetes在使用中的一些常见问题,希望对您有所帮助。

962172f9796d7e763d5997f416a471fe.png

01

在K8S集群中出现A节点无法访问B节点上的Pod,怎么办?

如果A节点无法ping通B节点上的Pod的IP地址,则在B节点上执行iptables -P FORWARD ACCEPT,反之则在A节点上执行iptables -P FORWARD ACCEPT即可。

02

在搭建Kubernetes集群过程中,安装了kube-dns插件后,运行一个ubuntu容器,发现容器内无法解析集群外域名,一开始可以解析集群内域名,一段时间后也无法解析集群内域名。

在Kubernetes集群中,kubelet是worker组建,负责管理Pod,根据Kubernetes文档,kubelet默认会从Node的/etc/resolv.conf文件读取DNS服务器地址,使得dnsPolicy是Default的Pod得以继承,kubelet中的--resolv-conf参数可以指定这个配置文件的地址。在Ubuntu 18.04中,将这个参数设置为systemd-resolved的DNS服务器配置文件/run/systemd/resolve/resolv.conf,Pod就会继承真正的外部DNS服务器。

03

DNS解析慢或超时如何解决?

DNS的解析结构:

..svc.

myapp.default.svc.cluster.local

解析慢的时候或者解析超时的时候:

curl myapp.default.svc.cluster.local

#这种时候可能会出现解析慢或者解析超时的情况;

curl myapp.default.svc.cluster.local.

#这时在最后加上一个 “.” 解析就没有问题了

04

Pod无法成功创建,describe查看原因,显示:mount failed。

原因:指定与块设备不一致的文件系统类型。

05

Kubernetes 新加了个node,状态Ready, 但调度过去的任务都执行异常

Kubernetes集群原来机器的ip都在en1上,flannel节点启动设置的网卡都在en1, 新加的这台节点ip却在en2上,以en1启动则失败。

此时需要查看flannel的配置:

kubectl -n kube-system get ds kube-flannel-ds -o yaml

...

containers:

- args:

- --ip-masq

- --kube-subnet-mgr

- --iface=en1

06

Kubernetes 如何清空节点?

排干节点:kubectl drain 节点名称 --delete-local-data --force --ignore-daemonsets

删除节点:kubectl delete node 节点名称

07

KubernetesPod调度失败问题(INSUFFICIENT PODS)

Kubernetes的node默认最大pod数量为110个,所有node都达到110个时无法再调度,出现如下报错信息:

0/3 nodes are available: 1 node(s) had taints that the pod didn't tolerate, 2 Insufficient pods

解决办法:

修改/etc/sysconfig/kubelet配置文件,添加--max-pods配置,然后重启kubelet服务,修改后文件内容如下:

KUBELET_EXTRA_ARGS="--fail-swap-on=false --max-pods=300"

08

请求服务时返回⼤量502、503 错误该如何处理?

某些 java 服务更新时,由于健康检查设置的预估启动时间过短,会导致健康检查不通过,服务更新失败,此时访问服务就会有异常。⽽ nginx 配置默认设置了max_fails=1 (请求失败的最⼤尝试次数), fail_timeout=10s (请求失败的超时时长),服务异常时,会有 10s 的时间将后端节点标记为不可⽤,请求服务时就会返回 502、503 错误。

解决⽅案(任选一个):

1、将 nginx 的 max_fails 取值增大,增加请求失败的尝试次数,例如:配置的 upstream 字段为 max_fails=10 、 fail_timeout=10s ;

2、将健康检查的预估启动时间增长,避免因预估启动时间过短而导致健康检查不通过。

09

Node的隔离和恢复

如果A节点无法ping通B节点上的Pod的IP地址,则在B节点上执行iptables -P FORWARD ACCEPT,反之则在A节点上执行iptables -P FORWARD ACCEPT即可。

在硬件升级、硬件维护等情况下,需要将某些Node进行隔离,脱离Kubernetes集群的调度范围。Kubernetes提供了一种机制,既可以将Node纳入调度范围,也可以将Node脱离调度范围。

创建配置文件unschedule_node.yaml,在spec部分指定unschedulable为true:

apiVersion: v1

kind: Node

metadata:

name: kubernetes-minion1

labels:

kubernetes.io/hostname: kubernetes-minion1

spec:

unschedulable: true

然后,通过kubectl replace命令完成对Node状态的修改:

$ kubectl replace -f unschedule_node.yaml

nodes/kubernetes-minion1

查看Node的状态,可以观察到在Node的状态中增加了一项SchedulingDisabled:

$ kubectl get nodes

NAME LABELS STATUS

kubernetes-minion1 kubernetes.io/hostname=kubernetes-minion1 Ready, SchedulingDisabled

对于后续创建的Pod,系统将不会再向该Node进行调度。另一种方法是不使用配置文件,直接使用kubectl patch命令完成:

$ kubectl patch node kubernetes-minion1 -p '{"spec":{"unschedulable":true}}'

需要注意的是,将某个Node脱离调度范围时,在其上运行的Pod并不会自动停止,管理员需要手动停止在该Node上运行的Pod。

同样,如果需要将某个Node重新纳入集群调度范围,则将unschedulable设置为false,再次执行kubectl replace或kubectl patch命令就能恢复系统对该Node的调度。

10

将Pod调度到指定的Node

我们知道,Kubernetes的Scheduler服务(kube-scheduler进程)负责实现Pod的调度,整个调度过程通过执行一系列复杂的算法最终为每个Pod计算出一个最佳的目标节点,这一过程是自动完成的,我们无法知道Pod最终会被调度到哪个节点上。有时我们可能需要将Pod调度到一个指定的Node上,此时,我们可以通过Node的标签(Label)和Pod的nodeSelector属性相匹配,来达到上述目的。

首先,我们可以通过kubectl label命令给目标Node打上一个特定的标签,下面是此命令的完整用法:

kubectl label nodes =

这里,我们为kubernetes-minion1节点打上一个zone=north的标签,表明它是“北方”的一个节点:

$ kubectl label nodes kubernetes-minion1 zone=north

NAME LABELS STATUS

kubernetes-minion1 kubernetes.io/hostname=kubernetes-minion1,zone=north Ready

上述命令行操作也可以通过修改资源定义文件的方式,并执行kubectl replace -f xxx.yaml命令来完成。

然后,在Pod的配置文件中加入nodeSelector定义,以redis-master-controller.yaml为例:

apiVersion: v1

kind: ReplicationController

metadata:

name: redis-master

labels:

name: redis-master

spec:

replicas: 1

selector:

name: redis-master

template:

metadata:

labels:

name: redis-master

spec:

containers:

- name: master

image: kubeguide/redis-master

ports:

- containerPort: 6379

nodeSelector:

zone: north

运行kubectl create -f命令创建Pod,scheduler就会将该Pod调度到拥有zone=north标签的Node上去。

# kubectl get pods -o wide

NAME READY STATUS RESTARTS AGE NODE

redis-master-f0rqj 1/1 Running 0 19s kubernetes-minion1

如果我们给多个Node都定义了相同的标签(例如zone=north),则scheduler将会根据调度算法从这组Node中挑选一个可用的Node进行Pod调度。

这种基于Node标签的调度方式灵活性很高,比如我们可以把一组Node分别贴上“开发环境”“测试验证环境”“用户验收环境”这三组标签中的一种,此时一个Kubernetes集群就承载了3个环境,这将大大提高开发效率。

需要注意的是,如果我们指定了Pod的nodeSelector条件,且集群中不存在包含相应标签的Node时,即使还有其他可供调度的Node,这个Pod也最终会调度失败。

weixin_39771260
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S集群中PodPod之间网络故障排查思路
江晓龙的博客
07-19 6706
在K8S集群中,可能会出现PodPod之间无法通信的现象,也就是说Pod无法Node主机进行通信,PodPod之间网络不通讯会导致无法请求Pod中的服务,Apiserver也可能会无法获取Pod的运行状态,产生一系列问题。1)首先排查Calico网络组件的运行日志,可以在日志中获取关键信息,如果是Pod网络与物理机网络重合导致的网络不通讯,会在日志中看到相应的报错内容,此时我们就需要修改Pod网段的IP地址了。6)增加新的Node节点,验证是否是新的Pod地址,然后驱逐旧Node节点中的Pod。...
k8s跨node curl 访问不通问题排查解决
weixin_43804233的博客
05-08 1957
参考连接:问题是这样的:三台云服务器:部署了三个master+三个node,发现在其中一台master上,验证能够正常访问其他工作节点上的pod。发现curl 不了,只能curl分配到本机的pod,后面才发现是路由转发策略问题导致!一下是步骤和解决方式:Chain FORWARD (policy DROP) 是 Linux iptables 防火墙中的一个规则链,用于控制转发流量的访问
K8S集群部署,flannel网络问题,各个节点之间的Pod无法ping通
qq_46274911的博客
11-11 4052
K8S集群部署,flannel网络问题,各个节点之间的Pod无法ping通
记一次k8s的pod间网络无法访问解决
记录博客
09-05 3407
k8s的pod网络访问问题解决
Kubernetes Flannel 主机ping不通Pod
ibless的博客
08-09 3566
Kubernetes Flannel 主机ping不通Pod1 问题2 解决方案 1 问题 Kubernetes搭建完成也使用了一段时间后,由于种种原因有些机器意外下线,然后又经过不同的人操作后。今天我突然发现宿主机ping不通。执行的测试例子如下: #1.检查节点状态 kubectl get nodes #正常情况下所有节点都处于Ready状态 #2.创建测试文件 nginx-ds.yml,其内容如下: apiVersion: v1 kind: Service metadata: name: ngin
Kubernetes部署Node组件
01-07
kubernetes二进制文件中的kubelet, kube-proxy拷贝到三个节点/opt/k8s/bin 可以用SCP命令 在master节点创建一个配置文档: vim configure.sh token”89a0bea35e38d0db7d8d25cfa4bb7f4d”参考上一篇 #! /bin/bash...
microservice_nodejs:这是KubernetesNode.js微服务的模板
05-12
microservice_nodejs 这是KubernetesNode.js微服务的模板。 结帐存储库: git clone https://github.com/sachsenhofer/microservice_nodejs.git应用程序const express = require('express')const app = express()...
阿里云Kubernetes实战
02-24
整体的业务流程如下图所示:由于业务需要,我们的自动化测试需要基于windows做web功能测试,每一个测试任务独占一个windows用户桌面,所以我们首先要给Jenkins配置几个Windows的SlaveNode.在我之前的post《持续集成C...
Node.js-获取并观察KubernetesPod资源CPU内存的利用率
08-09
获取并观察Kubernetes Pod资源(CPU,内存)的利用率
node-operator:项目节点操作员代表受监视的CRD耗尽Kubernetes节点
04-19
项目节点操作员代表受监视的CRD耗尽Kubernetes节点。 接触 邮件列表: 错误: 贡献与报告错误 见上提交补丁的细节,贡献的工作流程以及报告bug。 执照 node-operator受Apache 2.0许可。 有关详细信息,请参见文件...
一些网站资源分享
qq_43791139的博客
05-29 2596
链接地址 网站地址 1.博客就是这个博客 2.音乐是我网易云歌单 3.图床是我保存的图库 4.西瓜导航里面有各种网站 5.钟馗之眼是一个爬虫全网某些特征的网站(我不会用,但这个太强了,请合法使用) 6.罗马盘是资源网站 7.AI引擎,体验智能的感觉 8.优店,资源网站 9.叶音,黑科技资源,各种app和技术 10.网站源码 ...
k8s 不同node之间pod ip不通
weixin_40548182的博客
06-14 2675
底层k8s使用calico网络,ipip网络模式,kubevirt启动了2台虚拟机;在这两台虚拟机上再搭建k8s,calico网络,ipip网络模式。说明:我是使用helm安装的calico,改这个模式要改crd资源ippools。其他方式安装的calico修改方法可能不一样。在虚拟机上的k8s上启动了2个pod,分布在不同的node上,这两个pod不能ping通对方的pod ip。修改虚拟机之上的k8s集群的calico网络的ipipMode为Never即可,之前使用的是Always。
记一次kubernetes Pod节点访问不通的调查过程
最新发布
qd89zzx的博客
12-25 632
环境部署成功后,出现了一个问题,在node上ping经由volcano创建调度的pod时,如果pod在本节点上,可以ping通,如果跨界点ping不通。客户现场的同事反馈说CNI使用的是calico,原来在测试环境使用的是flannel,读到这里有经验的读者可能已经知道大概是什么原因了。这里先卖个关子,其实问题很简单,但是恰逢周末,另外客户现场网络涉密也不能远程链接,所有的沟通都靠同事拍照回传,所以脑子混乱,一直到第二天周一使用了最麻烦的debug方式才找到问题所在。
kubernetes 两个 nodepod 无法互相访问_Kubernetes提示:在无法访问节点上运行的Pod会发生什么?...
weixin_39910043的博客
11-21 638
由于各种原因,工作节点与主节点断开连接是很常见的。 在这种情况下,我们需要回答很多问题,例如,主节点是否删除在不可达节点上运行的Pod?,Kubernetes控制器的行为如何?,Pod是否继续在工作节点上运行? 简而言之,我们正在寻找的是当节点变得不可访问时,Kubernetes系统的行为如何?定义:在Kubernetes中,不可达节点被称为分区节点。为了了解操作方法,让我们创建一个分区节点方案并...
K8S集群中Pod资源与其他服务连接超时排查思路
江晓龙的博客
08-05 2669
当出现Pod资源网络连接超时时,都可以按照如上思路镜像排查和分析。如果还是无法解决问题,可以试着在目标端抓包然后进行分析。在目标端进行抓包时会发现请求的源IP都是K8S Node节点的地址,没有Pod资源的IP,这时因为Pod在请求集群之外的服务时,会将IP通过NAT方式转换成Node节点的IP,由Node节点去请求对应的服务。...
k8s集群部署常见问题
zhoujianhui008的博客
02-17 3746
1、Kubernetes Pod调度失败问题(Insufficient pods) Kubernetesnode默认最大pod数量为110个,所有node都达到110个时无法再调度,出现如下报错信息 0/3 nodes are available: 1 node(s) had taints that the pod didn’t tolerate, 2 Insufficient pods 解决办法: 修改/etc/sysconfig/kubelet配置文件,添加–max-pods配置,然后重启kub
五、kuternetes Pod介绍与配置
qq_49723651的博客
09-05 883
每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类:用户程序所在的容器,数量可多可少Pause容器,这是每个Pod都会有的一个根容器,它的作用有两个:可以以它为依据,评估整个Pod的健康状态可以在根容器上设置Ip地址,其它容器都使用这个Ip(Pod IP),以实现Pod内部的网路通信这里是Pod内部的通讯,Pod的之间的通讯采用虚拟二层网络技术来实现,我们当前环境用的是Flannel。
kubernetes+两个+node+的pod+无法互相访问
08-27
你好!针对你的问题,当两个 Kubernetes 节点上的 Pod 无法互相访问时,可能有几个原因需要排查: 1. 网络配置问题:确保节点之间的网络连接正常。可以通过在节点上使用 ping 命令测试节点之间的连通性。如果出现问题,可能需要检查网络配置、防火墙设置等。 2. Pod IP 地址冲突:每个节点上的 Pod 都会被分配一个唯一的 IP 地址。如果两个 Pod 的 IP 地址冲突,则它们无法互相访问。可以通过 kubectl get pods -o wide 命令检查 Pod 的 IP 地址是否正确。 3. Pod 所在的网络命名空间(Namespace)不同:Kubernetes 使用命名空间来隔离资源,如果两个 Pod 分别属于不同的命名空间,它们默认是无法互相访问的。 4. 网络策略(Network Policy)限制了访问:检查是否存在网络策略(Network Policy)限制了 Pod访问。网络策略可以定义允许或拒绝 Pod 之间的网络通信。 5. Service 未正确配置:如果想要通过 Service 名称来访问 Pod,确保 Service 正确地将请求转发到对应的 Pod。可以使用 kubectl get services 命令来确认 Service 的配置。 以上是一些可能导致 Kubernetes 节点上的 Pod 无法互相访问的常见原因,请仔细检查并逐一排查问题。如果问题仍然存在,请提供更多的细节和错误信息,以便更好地帮助解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值