k8s跨主机访问不通_k8s西游记 - 变更网络插件IP池

最新推荐文章于 2022-11-19 23:10:36 发布
最新推荐文章于 2022-11-19 23:10:36 发布
阅读量293 收藏
点赞数
文章标签: k8s跨主机访问不通
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39984578/article/details/112076480
版权

作者:justmine(分布式数据处理研习社)

出处:https://www.cnblogs.com/justmine

创作不易,欢迎转载,但必须在文章开头保留此段声明,否则保留追究法律责任的权利。

前言

最近在另一个k8s集群中,搭建了kong网关,在配置OIDC插件时,希望使用Memcahe代替Cookie来存储会话信息,于是把部署在同一局域网Memcahe的内网IP,比如:192.168.10.145配置给了kong,发现kong居然不能访问这个IP,于是进入容器组,执行命令:ping 192.168.10.145,不通,what are you 弄啥呢?

a23f26fd2e873e2851998c855293e14c.png

这可怎么肿么玩呢?

突然想到,在给Kubernetes配置网络插件Calico时,初始化集群时,使用了官方推荐C类IP池,即:192.168.0.0/16,而内网IP刚好符合C类IP池,可能就导致此类IP始终不会被转发到主机网络,带着这样子的猜想,于是决定修改网络插件的IP池。

如何修改Calico网络插件IP池?

1. 安装calicoctl

calicoctl允许您从命令行创建、读取、更新和删除Calico对象。有三种方式可以安装此工具,参考链接:https://docs.projectcalico.org/v3.8/getting-started/calicoctl/install。

以二进制文件安装到k8s master主机上

root@001:~# cd /usr/local/bin;root@001:~# curl -O -L https://github.com/projectcalico/calicoctl/releases/download/v3.8.2/calicoctl;root@001:~# chmod +x calicoctl;

备注:其他安装方式,请大家下去自行研究。

2. 配置calicoctl

配置calicoctl连接到kubernetes API,这里使用最简单的命令行形式,如下:

root@001:~# DATASTORE_TYPE=kubernetes KUBECONFIG=~/.kube/config calicoctl [命令]

备注:其他连接配置,请参考链接:https://docs.projectcalico.org/v3.8/getting-started/calicoctl/configure/kdd,大家下去自行研究吧。

设置命令别名

root@001:~# alias k8s-calicoctl='DATASTORE_TYPE=kubernetes KUBECONFIG=~/.kube/config calicoctl'

3. 变更IP池

3.1 查看目前支持的IP池

root@001:~# k8s-calicoctl get ippool -o wide;NAME CIDR NAT IPIPMODE VXLANMODE DISABLED SELECTOR default-ipv4-pool 192.168.0.0/16 true Always Never false all()

备注:看到CIDR字段值,明白了吧,这里就不赘述了。

3.2 添加新的IP池

root@001:~# k8s-calicoctl create -f -<

备注:根据ipv4的指派范围,一般分为A类、B类、C类,局域网一般使用C类IP池,为了避免和k8s冲突,决定选择B类IP池,即:172.16.0.0/16,关于IP池详细划分,请大家下去自行查阅资料。

再次查看支持的IP池

root@001:~# k8s-calicoctl get ippool -o wide;NAME CIDR NAT IPIPMODE VXLANMODE DISABLED SELECTOR default-ipv4-pool 192.168.0.0/16 true Always Never false all()b-ipv4-pool 172.16.0.0/16 true Always Never false all()

备注:看到CIDR字段值,明白了吧,这里就不赘述了。

3.3 禁用旧的IP池

备份IP池到文件

root@001:~# k8s-calicoctl get ippool -o yaml > /root/k8s-calico-pools.yaml

编辑k8s-calico-pools.yaml

root@001:~# vi /root/k8s-calico-pools.yamlapiVersion: projectcalico.org/v3items:- apiVersion: projectcalico.org/v3 kind: IPPool metadata: name: default-ipv4-ippool spec: blockSize: 26 cidr: 192.168.0.0/16 ipipMode: Always natOutgoing: true disabled: true # 添加的脚本 nodeSelector: all()- apiVersion: projectcalico.org/v3 kind: IPPool metadata: name: network-b-pool spec: blockSize: 26 cidr: 172.16.0.0/16 ipipMode: Always natOutgoing: true nodeSelector: all() vxlanMode: Neverkind: IPPoolListmetadata: resourceVersion: "44524549"

添加disabled: true到default-ipv4-ippool,上面注释位置。

应用变更:

root@001:~# k8s-calicoctl apply -f pool.yaml

再次查看IP池:

root@001:~# k8s-calicoctl get ippool -o wide;NAME CIDR NAT IPIPMODE VXLANMODE DISABLED SELECTOR default-ipv4-pool 192.168.0.0/16 true Always Never true all()b-ipv4-pool 172.16.0.0/16 true Always Never false all()

4. 重启所有容器组

kubectl -n [命名空间] delete pods --all;

备注:请大家下去自己完善遍历删除吧。

这一步会使用新的IP池重新分配容器组IP,如下:

root@001:~# kubectl -n kong get pods -o wideNAME READY STATUS RESTARTS AGE IPkong-kong-574957fdf7-x8ppk 1/1 Running 0 2d1h 172.16.252.126kong-postgresql-0 1/1 Running 0 4d23h 172.16.252.100kong-kong-controller-74fd6 2/2 Running 2 2d2h 172.16.252.124konga-8cc9565d5-bbm9p 1/1 Running 0 4d22h 172.16.252.103

5. 删除旧IP池

如果所有的Pod IP都已正常分配,但是发现满足旧IP池的IP地址还是无法ping通,也就是无法逃逸出k8s网络,那么请执行下面的命令吧:

root@001:~# k8s-calicoctl delete pool default-ipv4-ippool

最后

如果有什么疑问和见解,欢迎评论区交流。

如果你觉得本篇文章对您有帮助的话,感谢您的【推荐】。

如果你对k8s感兴趣的话可以【关注我】,我会定期的在博客分享我的心得。

参考链接

https://docs.projectcalico.org/v3.8/getting-started/calicoctl/install

https://docs.projectcalico.org/v3.8/getting-started/calicoctl/configure/kdd

https://docs.projectcalico.org/v3.8/networking/changing-ip-pools

weixin_39984578
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s搭建Kubernetes(k8s)集群用到的部署CNI网络插件
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
k8s主机访问不通_K8S 生态周报| 几乎影响所有 k8s 集群的漏洞
weixin_39945795的博客
11-27 581
K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。Docker v19.03.11 发布距离 v19.03.10 发布仅一周时间,Docker 又发布了新版本 v19.03.11 。此版本是一个安全修复版本,通过禁用了 IPv6 路由地址广播(RA)从而防止地址欺骗,对应的漏洞为 CVE-2020-13401 。在 Docker...
记一次k8scalico节点网络不通的问题及排错过程和解决方法
热门推荐
Explore
11-06 1万+
集群内布有四个节点: 节点名称 主机IP km1 192.168.1.1 kn1 192.168.1.2 kn2 192.168.1.3 kn3 192.168.1.4 网络不通的表征:进入节点km1的pod,ping kn1-3节点上的pod的ip不通,kn1-3节点ping km1也不通,但是kn1 kn2 kn3之间他们各自节点上的pod的ip之间是可以相互ping通。 这种情况让我们想起了当时设置路由转发时候的配置,因为我们的四台服务器,只有一个公网IP,我们把19
阿里云ESC部署k8s集群,POD主机无法通信问题解决
天暗下来,你就是光
05-24 8597
问题描述: 在公司3台阿里云ESC部署K8s单Master集群,不管是用flannel还是calico,不同节点的pod之间都无法连通,安全组TCP和UDP端口全开了也不行,firewalld,selinux都关了。查了很多资料,尝试了很多种办法,自己折腾了一个星期还是没有解决。 最后在自己电脑的3台虚拟机上,同样的搭了一套,一切正常,最后怀疑是阿里云ESC有什么特殊限制,或者什么配置没开。 于是阿里云提了个工单咨询。售后帮忙排查到最后说让把vxlan网络对应的IP网段配置到VPC专有网络的路由表中试试。自
解决flannel下k8s pod及容器无法主机互通问题
花&败
05-09 1078
初学k8s,之前的步骤都一切顺利,但在搭建k8s集群并整合flannel时,即使关闭了防火墙主机间容器、pod始终无法ping通。 这是由于linux还有底层的iptables,所以在node上分别执行: iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -F iptables -L -n 问题完美解决 ...
k8s主机访问不通_kubernetes 网段 pod 网络不通问题
weixin_33187554的博客
12-25 3752
点击上方蓝色字体,关注我们kubernetes 网段问题k8s 的 master 是10.10.10.0网段,新加了一些 node,网段是172.16.100.0网段,造成容器直接网络不能相互访问。部署 k8s 的时候也部署了 flannel,它提供容器的主机通信支持的。部署参考,flannel 中 vxlan 原理参考(http://dockone.io/article/2216...
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
k8s-rdma-sriov-dev-plugin ( ) 这是一个简单的 rdma 设备插件,支持 IB 和 RoCE SRIOV vHCA 和 HCA。 这也支持 Mellanox NIC 的 DPDK 应用程序。 这个插件作为 daemonset 运行。 它的容器镜像可以在 rdma/k8s-rdma-...
K8S监控主机资源node-exporter镜像及资源清单文件
12-22
原文链接:https://blog.csdn.net/m0_37814112/article/details/122041607 说明:Kubernetes监控主机资源node-exporter镜像及资源清单文件
cloud-运维平台_k8s_k8s运维平台_cloud_
09-30
k8s的运维平台,helm模板自动化生成,自动化部署
k8s-calico网络容器镜像包
最新发布
06-26
部署k8scalico网络时需要的calico镜像包,需要本地上传,导入使用
安装calico网络插件K8s集群节点间通信找不到主机路由(no route to host)
weixin_43757027的博客
03-18 6037
安装calico网络插件K8s集群节点间通信找不到主机路由(no route to host) 背景:k8s安装calico网络插件后master节点ping不通其它node节点,但可以ping通外网,同时calico有一个pod启动异常,日志报错信息calico/node is not ready: BIRD is not ready: BGP not established with 192.168.8.xxx,192.168.8.xxx [root@master1 ~]# ping 192.168.
K8S集群中Pod与Pod之间网络故障排查思路
江晓龙的博客
07-19 6794
K8S集群中,可能会出现Pod与Pod之间无法通信的现象,也就是说Pod无法Node主机进行通信,Pod与Pod之间网络不通讯会导致无法请求Pod中的服务,Apiserver也可能会无法获取Pod的运行状态,产生一系列问题。1)首先排查Calico网络组件的运行日志,可以在日志中获取关键信息,如果是Pod网络与物理机网络重合导致的网络不通讯,会在日志中看到相应的报错内容,此时我们就需要修改Pod网段的IP地址了。6)增加新的Node节点,验证是否是新的Pod地址,然后驱逐旧Node节点中的Pod。...
转载:k8s在pod内无法ping通servicename和ClusterIP
那个那个
03-16 7324
转载自:k8s在pod内无法ping通servicename和ClusterIP iptables与IPVS对比 Iptables: 灵活,功能强大 规则遍历匹配和更新,呈线性时延 IPVS: 工作在内核态,有更好的性能 调度算法丰富:rr,wrr,lc,wlc,ip hash… 生产环境推荐使用IPVS ①、进入容器内部测试 ping ClusterIP:无法ping通 coder@user1-container10-79754b6fcd-vmrhp:~/project$ ping 10.103.84.9
calico网络重启后pod ip不通
yxy364792412的博客
09-02 1020
pod ping不通机器ip 问题:机器ip可通信,pod容器里不可通信机器ip 发现: 查询上次重启时间 who -b 查询重启信息: last reboot | less 查询路由表 ip route route -n 在容器用ping机器ip地址 kubectl exec -it busybox1 ping 10.233.0.1 添加ip路由表-默认网关 ip route add 0.0.0.0/0 via 10.110.147.202 dev eno1 查询存储情况 df -h | gr
Kubernetes 网络排查方法
u013916029的博客
11-19 1210
k8s
Windows10下Hyper-V虚拟机安装kubernetes集群(二)配置虚拟机
学而时习之
12-19 1840
windows10系统下hyperv虚拟机搭建kubernetes单master节点集群
虚拟机中k8s calico网络不通
kkkwant2050的博客
11-28 1660
k8s pod 主机pind pod 不通 一 改calico.yaml # 增加定位 - name: IP_AUTODETECTION_METHOD value: can-reach=192.168.31.168 #master节点内网ip - name: IP value: "autodetect" #取消注释,10.100.0.1/16为pod的网段 name: CALICO_IPV4POOL_CIDR value: "10.100.0.1/16" #延时改长 livenessPr
K8s-cks必备技能攻略
02-07
K8s-cks必备技能攻略

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值