Kubernetes Calico网络重大故障排查实战

已于 2024-06-02 23:35:49 修改
阅读量673 收藏 9
点赞数 25
分类专栏: Kubernetes 文章标签: 网络 k8s kubernetes 运维
于 2024-06-02 23:25:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41350845/article/details/139399388
版权

引言

    在当前的Kubernetes实践环境中,Calico作为优选的网络解决方案应用非常广泛,它提供了高效的网络连接和安全策略管理,是构建和维护大规模云基础设施的关键组件,所以其稳定运行至关重要。

Calico的简介与原理

    Calico是一个纯三层的数据中心网络方案,它提供了高性能、大规模的网络解决方案,支持动态路由、网络策略和网络隔离等功能。Calico利用标准的IP路由,简化了网络布局,同时也支持广泛的私有云和公有云平台。

核心原理:

  • IP路由:Calico使用基于IP的路由而不是传统的overlay网络,这减少了封包封装的开销,提高了网络性能。

  • 网络策略:提供细粒度的网络安全策略,可以控制哪些Pod可以通信。这是通过直接与Kubernetes API集成来实现的,使得策略定义既直观又灵活。

  • BGP(Border Gateway Protocol):Calico使用BGP来广播和学习路由,这使得它能够在不同的物理和云基础设施上无缝工作。

    Calico在Kubernetes环境中尤其重要,因为它不仅提供容器网络接口(CNI),还提供网络安全策略,确保Pod间的安全通信。

故障描述

    最近,在技术交流群里有兄弟反馈他们生产环境的k8s集群出现Calico Controller无法正常启动的情况,报cannot find a qualified ippool,业务Pod也无法正常重启,这是一个很严重且比较罕见的故障,Calico的故障可能导致Pod与Pod的通信中断、新启动的Pod无法正常获取ip导致启动失败等问题,如果不及时处理或者处理姿势不对,将有可能升级为更大的故障。

故障排查

    看到下图的报错内容,起初想到的是可能是ip地址池满了,亦或ip地址池被删?被禁用?于是,我们开始沿着这个思路进行排查,但关键是我们要怎么查看Calico ip地址池的状态呢? 

是的,我们需要借助一个工具叫calicoctl,如下是二进制安装方法

# 下载calicoctl二进制文件
curl -o calicoctl -O -L "https://github.com/projectcalico/calico/releases/download/v3.24.1/calicoctl-linux-amd64" 

# 赋予可执行权限
chmod +x calicoctl

# 将calicoctl复制到/usr/bin目录下
mv calicoctl /usr/bin/

安装完成后,我们可以根据如下指令查看ipPool状态

calicoctl get ipPool -o wide

从结果我们得知ip地址池是有的,只是被禁用了,DISABLED的状态被设置为true,将其改为false后故障估计就能恢复

解决过程

在定位到问题后,我们尝试着通过下面的指令将ip地址池状态修改为启用

calicoctl patch ippool default-ipv4-ippool -p '{"spec": {"disabled": false}}'

在执行指令后通过calicoctl get ippool -o yaml查看ip地址池状态,发现未能得偿所愿,disabled还是true,Why???这就有点蛋疼了。。。

要怎么办呢?反正地址池也用不了,要么我们重建一个?但是直接删吗?不,运维人员要有备份的习惯,我们通过calicoctl get ippool -o yaml将配置进行备份,然后通过下面的指令删除现有的ip地址池

calicoctl delete ippool default-ipv4-ippool

接着,我们用下面的指令进行创建

calicoctl create -f - <<EOF
apiVersion: projectcalico.org/v3
kind: IPPool
metadata:
  name: default-ipv4-ippool
spec:
  cidr: 10.233.64.0/18
  ipipMode: Always
  natOutgoing: true
EOF

在创建完成后,我们再次执行calicoctl get ippool -o wide观察到ip地址池已经启用了,牛逼!!!

接着,就是重启Calico Controller的Pod,然后可以从Pod事件日志中我们看到Calico Controller已经正常启动了,重新启动的业务Pods也可以正常获取到ip并完成启动,故障解决。

总结

    当涉及到生产环境,尤其是核心组件的变更时,我们必须持有敬畏之心。在进行任何关键变更之前,都应该进行充分的预演,以确保我们了解变更的影响和可能的风险。特别是在遇到Calico故障时,务必保持冷静,不要仓促行动。切记不要随意重启容器,因为这可能导致容器无法启动。在执行任何操作之前,必须确保操作符合我们的认知,不清楚的情况下,绝对不要随意尝试,分享就到这里,谢谢!

欢迎订阅我的公众号「SRE运维手记」,可扫下方二维码,或者微信搜“SRE运维手记”

SRE运维手记
关注
  • 25
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
calico v3.25.0镜像以及yaml文件下载
09-20
calico v3.25.0镜像以及yaml文件。使用它可以避免在kubernetes集群搭建过程中calico镜像无法下载的问题。 操作方法: 首先需先安装docker linux解压,unzip calico-image-v3.25.0.zip,获得calico.yaml和calico-image-v3.25.0.tar两个文件;使用 docker load -i calico-image-v3.25.0.tar导入镜像。
kubernetes高可用集群搭建手册
12-30
部署Dashboard可以方便地进行故障排查和资源管理。 2.10.1 安装Dashboard可以通过Helm或者kubeadm自带的命令完成,部署完成后需要创建一个服务帐户和角色绑定,以安全的方式访问Dashboard。 在遵循以上步骤后,一...
处理一次k8scalico无法分配podIP的心路历程
云原生实验室
11-15 1378
又一次偷偷化解了可能发生的重大事故。不想看过程的可以直接跳到末尾看处理方案。一个网络错误某天,上kplcloud构建一个测试应用,构建完成之后发现新pod一直启动失败,并且抛出了以下错误...
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
longchangfeng的博客
02-23 1131
M1 Mac 安装K8s calico api-server 拉取不到镜像的解决办法
Docker无法拉取镜像
weixin_42480780的博客
05-30 2113
docker拉取镜像时报错: 解决方法 配置阿里云镜像加速器: 如果配置阿里云镜像加速器之后依然报错,打开网卡配置文件,设置DNS。
K8s的Pod出现Init:ImagePullBackOff问题的解决,(以calico网络插件为例)
吃素的哈士奇de博客
03-19 1598
从上图发现是docker拉取"docker.io/calico/cni:v3.19.4"失败,那么我们手动拉取一下。对于这类问题的解决思路应该都差不多,本文以calico插件安装为例,发现有个Pod的镜像没有pull成功。Note:我们需要知道这个pod是部署在哪个node上,然后才能在具体的Node上拉取镜像。发现是在node35主机上,那么我们去相应主机拉取镜像。第一步:查看这个pod的描述信息。检查daemon.json 文件。第二步:查看Pod所在Node。可额外添加网易163的镜像加速。
k8s(kubernetes)集群搭建和搭完后管理操作
05-27
8. **故障排查**:使用`kubectl describe`、`kubectl logs`和`kubectl exec`等命令诊断问题。 9. **网络策略**:使用Network Policy资源控制Pod之间的网络通信。 10. **安全与访问控制**:通过Role-Based Access ...
k8s-1.16.1-搭建和操作-kubernetes安装包和详细文档笔记整理
05-27
6. 监控和管理:通过Kubernetes的Dashboard或者使用命令行工具监控集群状态,进行故障排查和资源管理。 在这个资源包中,详细文档笔记将涵盖以上所有环节,包括每一步的详细操作指南、常见问题及解决方法。对于运维...
kubekey2.2.1搭建高可用k8s1.22.10集群-kubernetes安装包和详细文档笔记整理
最新发布
05-29
7. **故障排查与备份恢复**:了解如何处理常见问题,如网络故障、资源不足等,并制定备份策略以防止数据丢失。 8. **安全性考虑**:确保遵循Kubernetes的最佳安全实践,如使用RBAC授权、加密通信、限制Pod安全策略...
Docker 与 K8S学习笔记(二十三)—— Kubernetes集群搭建.doc
07-12
Docker 与 K8S学习笔记(二十三)—— Kubernetes集群搭建.doc
calico容器镜像
05-21
calico容器分析,对于读者学习calico原理有非常大的帮助。
k8s1.20.4-高可用集群部署-新增项目-kubernetes安装包和详细文档笔记整理
05-29
提供的文档笔记可能是安装过程的记录,包括了配置细节、遇到的问题及解决方法,这对于重复部署或故障排查具有极高的参考价值。它可能涵盖了命令行操作、配置文件示例、监控和日志分析等方面,帮助读者深入理解...
k8s修改pod IP地址池-Calico CIDR
juststrive_007的博客
01-03 819
1 k8s通过二进制方式部署2 k8s官网更加推荐集群重新部署3 下述方法会使k8s集群整体停止服务一段时间。
kubeadmin 部署K8S calico组件POD报错排查记录
l434的博客
02-17 2031
calico ,k8s,kubeadmin
Kubernetes三探(安装calico,join,以及遇到的问题)
荒野之鹰
09-30 3374
Kubernetes三探(安装calico,join,以及遇到的问题)
[kubernetes]Calico运行异常:dial tcp 10.96.0.1:443: connect: connection refused
大数据
05-12 2825
内置的 kubernetes service 无法删除,其 ClusterIP 为通过 --service-cluster-ip-range 参数指定的 ip 段中的首个 ip,kubernetes endpoints 中的 ip 以及 port 可以通过 --advertise-address 和 --secure-port 启动参数来指定。原文链接:https://blog.csdn.net/dingpwen/article/details/124444614。那么这个10.96.0.1到底是什么呢?
kubelet sandbox创建与calico cni网络配置流程 (二)
polarwu的博客
09-13 1990
上一篇文章分析了kubelet创建pod时首先需要创建一个sandbox容器,该容器保证了k8s的pod中多个容器使用同一个网络命名空间,每个容器能够像访问本地端口一样访问对端容器端口。虽然sandbox的创建流程和运行时参数配置的代码我们都一一分析过了,实际的容器网络也是调用cni插件配置,但是cni插件是怎么工作的呢,这一节我们着重从cni(以caliclo为例)插件一端分析网络配置过程。...
Kubernetes Calico网络
04-06
Kubernetes Calico网络是一种开源的容器网络解决方案,它是一个基于BGP路由协议的网络解决方案,可以提供高度可扩展性和强大的安全性。Calico网络可以轻松地与Kubernetes集群集成,为容器提供高性能和高可用性的网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值