k8s集群唯独一个节点nodeport不通问题调查

已于 2023-05-09 10:18:02 修改
阅读量1.9k 收藏 4
点赞数 1
分类专栏: kubernetes 问题整理 文章标签: kubernetes 网络 运维
于 2023-05-08 16:46:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45112997/article/details/130562588
版权

k8s集群唯独一个节点nodeport不通问题调查

背景:

​ 集群3个节点,通过svc暴露了一个nodeport类型的31710端口。对于nodeport类型的端口,理论上可以通过任何一个节点的nodeip+nodeport访问的,但是该环境在实际访问时,31710端口呈现频繁无法访问的问题,且telnet不通。

排查问题:

  1. 查看对应服务的pod、svc、endpoint的状态,未见异常

  2. 查看kube-apiserver组件的状态及日志信息,未发现明显问题

  3. 怀疑问题节点的kube-proxy组件异常,观察发现该节点kube-proxy的pod为running,对比正常节点,日志未发现错误信息。

  4. 通过iptables -S -t nat|grep 31710调查正常节点和异常节点的对于nodeport类型的iptables规则,也未发现异常。

  5. 通过在telnet过程中,用tcpdump工具分别在正常节点和异常节点进行抓包。tcpdump -i eth0 -nn tcp port 31710。结果:正常节点三次握手正常完成,而异常节点三次握手未完成,但是收到了来自客户端的sync包。同时,在异常节点,netstat -s|grep -i listen命令,也发现sync的包drop数目增加。

发现问题:
  • 异常节点不响应客户端的sync握手包
结论:

  • 解决办法:修改内核参数net.ipv4.tcp_tw_recycle参数为0

    #修改配置文件
$ vim /etc/sysctl.conf
net.ipv4.tcp_tw_recycle = 0
#生效
$ sysctl -p

    在修改net.ipv4.tcp_tw_recycle为默认值0后,tcp连接正常了。

问题分析:

对于服务端不响应客户端的sync握手包问题,网上踩坑血泪史很多,直接说结论。net.ipv4.tcp_tw_recycle参数修改为1时,会出现此类问题。搜索网络内核参数优化或者优化服务器连接time_wait过多的文章,十之八九说修改net.ipv4.tcp_tw_recycle参数为1的,事后了解到,客户也是参照此类文章优化过环境。

对于tcp_tw_recycle参数,RFC1323 中有如下一段描述:

An additional mechanism could be added to the TCP, a per-host cache of the last timestamp received from any connection. This value could then be used in the PAWS mechanism to reject old duplicate segments from earlier incarnations of the connection, if the timestamp clock can be guaranteed to have ticked at least once since the old connection was open. This would require that the TIME-WAIT delay plus the RTT together must be at least one tick of the sender’s timestamp clock. Such an extension is not part of the proposal of this RFC.

大概意思是说TCP有一种行为,可以缓存每个连接最新的时间戳,后续请求中如果时间戳小于缓存的时间戳,即视为无效,相应的数据包会被丢弃。

Linux是否启用这种行为取决于tcp_timestamps和tcp_tw_recycle,因为tcp_timestamps缺省就是开启的,所以当tcp_tw_recycle被开启后,实际上这种行为就被激活了,当客户端或服务端以NAT方式构建的时候就可能出现问题,下面以客户端NAT为例来说明:

当多个客户端通过NAT方式联网并与服务端交互时,服务端看到的是同一个IP,也就是说对服务端而言这些客户端实际上等同于一个,可惜由于这些客户端的时间戳可能存在差异,于是乎从服务端的视角看,便可能出现时间戳错乱的现象,进而直接导致时间戳小的数据包被丢弃。如果发生了此类问题,具体的表现通常是是客户端明明发送的SYN,但服务端就是不响应ACK。

参数默认状态作用条件影响风险建议
net.ipv4.tcp_timestamps开启记录TCP报文的发送时间双方都要开启影响客户端服务端开启
net.ipv4.tcp_tw_recycle关闭 4.1内核已删除把TIME-WAIT状态超时时间设置为成rto,以实现快速回收要启用net.ipv4.tcp_timestamps影响客户端服务端tcp_tw_recycle和tcp_timestamps同时开启的条件下,60s内同一源ip主机的socket connect请求中的timestamp必须是递增的,否则数据会被linux的syn处理模块丢弃内网环境切没有NAT的时候看情况打开,没什么必要就不要打开了
net.ipv4.tcp_tw_reuse关闭TIME-WAIT状态1秒之后可以重用端口要启用net.ipv4.tcp_timestamps影响客户端

在4.12之后的内核已移除tcp_tw_recycle内核参数(https://github.com/torvalds/linux/commit/4396e46187ca5070219b81773c4e65088dac50cc)。

参考:https://www.tqwba.com/x_d/jishu/289849.html

要加油呀
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于containerd搭建的K8S集群calico与coredns组件一直处于pending状态
江晓龙的博客
02-09 8879
基于containerd搭建的K8S集群calico与coredns组件一直处于pending状态 问题描述 搭建完K8S1.22版本,容器服务采用的containerd,集群部署完成后calico和coredns组件一直处于pending状态,如下图所示。 排查过程 首先查看下资源为什么一直处于pending状态。 使用kubectl describe 命令查看calico等资源的属性,提示信息说是由于K8S集群Node节点没有准备就绪导致。 我的集群刚刚搭建完毕,calico组件一直处于pendin
k8s service nodePort无法访问问题
weixin_45958218的博客
11-11 4990
K8s集群中各节点无法访问问题
kubernetes踩坑:nodePort拒绝访问的问题
热门推荐
JinchaoLv的博客
03-26 2万+
(1)找到pod所在节点,从pod所在k8s节点上通过{nodeIp}:{nodePort}访问,如果访问不了,可能是pod或service没有成功部署; (2)从其它node节点通过{nodeIp}:{nodePort}访问,如果不能访问,执行 kubectl describe pod {podName} -n={namespace} 查看pod描述信息,找到pod ip,直接对着pod访问{...
安装vmware搭建k8s集群(亲试无坑)
奈斯菟咪踢呦
07-22 7478
前言 准备环境 环境 说明 宿主机 windows10 vmware 版本v16 centos(使用 cat /etc/redhat-release 查看) centos Linux Release 7.9.2009(core) linux内核(使用uname -r查看) 3.10.0-1160.e17.x86_64 虚拟机 说明 192.168.3.129 Master 192.168.3.134 node1 centos ...
K8S彻底卸载教程
一枚风雨流苏的博客
11-17 5516
网络上有很多的K8S安装安装教程,但是唯独很少有卸载教程,有也讲得不清不楚,本文经过实操验证可以完美卸载K8S
k8s常见问题
Yuan_xii的博客
01-12 919
(1)network: failed to set bridge addr: “cni0” already has an IP address different from sudo ip link delete cni0 #之后会重建
kubeadm init初始化k8s集群时报错的坑
qq_41190902的博客
06-15 9523
kubeadm init Initial timeout of 40s passed. The kubelet is not running
kubeadm部署高可用K8S集群(v1.14.0)
weixin_34007886的博客
04-23 1012
一、 集群规划 主机名 IP 角色 主要插件 VIP 172.16.1.10 实现master高可用和负载均衡 k8s-master01 172.16.1.11 master kube-apiserver、kube-controller、kube-scheduler、kubelet、kube-proxy、kube-flannel、etcd k8s-master02 1...
Kubernetes部署(六):k8s项目交付----(3)集群监控
Jerry00713的博客
02-19 3508
一、介绍Prometheus Prometheus(普罗米修斯)是一个最初在SoundCloud上构建的监控系统。自2012年成为社区开源项目,拥有非常活跃的开发人员和用户社区。为强调开源及独立维护,Prometheus于2016年加入CNCF,成为继kubernetes之后的第二个托管项目。 官网:https://Prometheus.io 源码托管:https://github.com/prometheus Prometheus的特点: 多维数据模型:由度量名称和键值对标识的时间序列数据。 内置时间
K8s外部网络访问之NodePort资源附件
10-22
NodePort是一种Service类型,它允许外部网络访问K8s集群内的服务,无需复杂的网络配置。本资源附件将深入探讨NodePort的工作原理、配置方法以及如何通过NodePort实现外部网络访问。 首先,理解NodePort的含义:Node...
使用kubeadm快速部署一个K8s集群
10-26
使用kubeadm快速部署一个K8s集群,MARKDOWN格式,请使用浏览器打开,内容丰富,步骤非常详细,清晰明了,没有多少废话,都是实战总结,一步一步教您部署K8S集群
ansible一键部署k8s1.16集群新增node节点-二进制-参考
06-28
ansible一键部署k8s1.16集群新增node节点—二进制—参考
使用kubeadm快速部署一个K8s集群.md
12-30
使用kubeadm快速部署一个K8s集群,快速搭建k8s集群手顺
部署一套单Master的K8s集群(kubeadm-V1.21)
05-09
在本文中,我们将部署一个单Master的Kubernetes集群K8s),使用kubeadm-V1.21版本。Kubernetes是一款流行的容器编排系统,提供了自动部署、扩展、管理容器的功能。 1. 生产环境可部署Kubernetes集群的两种方式 ...
k8s核心知识总结
weixin_37172178的博客
07-25 1398
容器和镜像的关系可以理解为对象和类,或者java代码和java进程build:通过dockerfile 创建一个镜像tag:镜像本身可以进行版本迭代push/pull:类似git的中央仓库,可以用来提交镜像文件(包括公有和私有)load/save:拥有本地传输镜像文件run/commit:镜像运行一个容器实例,或者提交一个镜像文件start/stop:运行或停止一个容器。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 325
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 944
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
第三周:网络应用(上)
Vincent_Zhang233的博客
07-26 223
一、网络应用(层)内容概述我们已经知道,Internet的体系结构是符合TCP/IP协议栈的,而“应用层”就在这个协议的最上层。
k8s创建一个node节点,并连接到集群
05-26
要创建一个 Kubernetes 节点,您需要完成以下步骤: 1. 安装 Docker:Kubernetes 使用 Docker 引擎来管理容器,因此您需要在节点上安装 Docker。 2. 安装 kubeadm、kubelet 和 kubectl:这些工具是 Kubernetes 的基本组件,必须安装在所有节点上。 3. 初始化节点:使用 kubeadm 工具初始化节点,将其加入 Kubernetes 集群。 4. 加入节点:将新节点加入 Kubernetes 集群。 下面是一些更具体的步骤: 1. 安装 Docker 请参阅 Docker 官方文档,安装 Docker 引擎。 2. 安装 kubeadm、kubelet 和 kubectl 您可以使用以下命令下载和安装这些组件: ``` apt-get update && apt-get install -y apt-transport-https curl curl -s https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add - cat <<EOF >/etc/apt/sources.list.d/kubernetes.list deb https://apt.kubernetes.io/ kubernetes-xenial main EOF apt-get update apt-get install -y kubelet kubeadm kubectl ``` 3. 初始化节点 使用 kubeadm 工具初始化 Kubernetes 节点,执行以下命令: ``` kubeadm init --pod-network-cidr=192.168.0.0/16 ``` 其中,--pod-network-cidr 参数是指定 Pod 网络 CIDR。您可以根据需要修改。 4. 加入节点 将新节点加入 Kubernetes 集群,执行以下命令: ``` kubeadm join <master-node-ip>:<master-node-port> --token <token> --discovery-token-ca-cert-hash sha256:<hash> ``` 其中,<master-node-ip> 和 <master-node-port> 是主节点的 IP 地址和端口号,<token> 和 <hash> 是由 kubeadm init 命令生成的令牌和哈希值。 完成上述步骤后,您就可以在 Kubernetes 集群中部署容器了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值