K8s设置service的nodeport以后外部无法访问对应的端口的问题

最新推荐文章于 2024-05-20 17:32:54 发布
最新推荐文章于 2024-05-20 17:32:54 发布
阅读量8.1k 收藏 9
点赞数 5
分类专栏: K8S 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangjunli/article/details/122863667
版权

于Service 设置为NodePort 模式后导致外部无法访问对应的端口问题,查看下node节点上已经出现了30002端口的监听,确保服务器外部安全组等限制已经放行该端口,按照网上搜到的教程配置基本没看到要配置iptables相关的问题。
然后查阅了不少资料才看到docker 1.13 版本对iptables的规则进行了改动,默认FORWARD 链的规则为DROP ,带来的问题主要一旦DROP后,不同主机间就不能正常通信了(kubernetes的网络使用flannel的情况)。
查看下node节点上的iptables规则:

[root@k8s-master ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
KUBE-FIREWALL  all  --  0.0.0.0/0            0.0.0.0/0           
 
Chain FORWARD (policy DROP)
target     prot opt source               destination         
DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0           
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0  

iptables 被kubernetes接管后的规则比较多,仔细看下FORWARD 规则就发现了,policy DROP状态,这就导致了我们直接访问node节点的IP加上端口会无法访问容器,问题出在iptables上就好解决了。
临时解决方案,直接设置FORWARD 全局为ACCEPT:

[root@k8s-master ~]# iptables -P FORWARD ACCEPT

[root@k8s-master ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
KUBE-FIREWALL  all  --  0.0.0.0/0            0.0.0.0/0           
 
Chain FORWARD (policy ACCEPT)

这样需要在每台node上执行命令,并且重启node后规则失效;
永久解决方案,修改Docker启动参数,在[Service] 区域末尾加上参数:

[root@k8s-master ~]# vim /usr/lib/systemd/system/docker.service
[Service]
............
ExecStartPost=/sbin/iptables -I FORWARD -s 0.0.0.0/0 -j ACCEPT

[root@k8s-master ~]# systemctl daemon-reload
[root@k8s-master ~]# systemctl restart docker

由于修改了systemctl 文件,所以需要重新载入,重启docker 就可以看到iptables规则已经加上ACCEPT all – 0.0.0.0/0 0.0.0.0/0

登录后复制
[root@k8s-master ~]#  iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
KUBE-FIREWALL  all  --  0.0.0.0/0            0.0.0.0/0           
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0 
-----------------------------------
 

zhangjunli
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
设置servicenodeport以后外部无法访问对应端口问题
weixin_34268579的博客
04-13 2724
关于Service 设置NodePort 模式后导致外部无法访问对应端口问题,查看下node节点上已经出现了30002端口的监听,确保服务器外部安全组等限制已经放行该端口,按照网上搜到的教程配置基本没看到要配置iptables相关的问题。 然后查阅了不少资料才看到docker 1.13 版本对iptables的规则进行了改动,默认FORWARD 链的规则为DROP ,带来的问题主要一旦DROP...
k8s nodeport无法访问_k8s系列教程二:极速入门
weixin_39912163的博客
11-28 1670
作者:潘吉祥 | 转载请注明来源环境准备1. centOS-7(虚拟机或物理机均可)2. 关闭防火墙,更新源systemctl disable firewalld #禁用防火墙systemctl stop firewalld #关闭防火墙yum update #更新yum源3.安装etcd和kubernetesetcd作为kubernetes的信息保存中心,相当于我们熟知的zookeeper。这里...
Kubernetes 故障篇 service端口不通排查流程
最新发布
小楼一夜听春雨,深巷明朝卖杏花
05-20 1873
官方提供的yaml文件中,ip识别策略(IPDETECTMETHOD)没有配置,即默认为first-found,这会导致一个网络异常的ip作为nodeIP被注册,从而影响node-to-node mesh。我们可以修改成can-reach或者interface的策略,尝试连接某一个Ready的node的IP,以此选择出正确的IP。以前遇到过,开发这边将jar包定义的端口全部修改了,与我yml文件中定义的不一致,当前环境service端口配置正确。思路三:kube-proxy组件是否正常工作?
k8s service nodePort无法访问问题
weixin_45958218的博客
11-11 4902
K8s集群中各节点无法访问问题
k8s故障修复:部分服务无法通过k8s集群宿主机ip+NodePort访问
qq_42063179的博客
08-05 5664
部分服务无法通过k8s集群宿主机ip+NodePort访问
master节点上的nodeport端口不通(k8s踩坑)
MssGuo的博客
01-03 5661
创建了一个nodeport类型的service端口是80,按道理来说会在每个节点上开启80端口,但是发现master节点上没有开启80端口node1、node2上均开启了80端口。等方式查看service开启的nodeport端口了,但是我们可以使用telnet命令进行测试。排查防火墙selinux,都是关闭状态的。
记一次k8s service设置nodeport访问外网失败案例
qq_45034687的博客
11-07 1385
今天有一个项目做service nodeport转发,结果设置完之后发现外网访问失败。curl: (7) Failed connect to 192.168.213.138:31234; Connection refused
K8s外部网络访问之NodePort资源附件
10-22
K8s外部网络访问之NodePort资源附件
k8sServiceIngress,service-nodeport.yaml
03-03
k8sServiceIngress,service-nodeport.yaml
k8sServiceIngress,service-nodeport.yaml,mandatory.yaml
03-03
k8sServiceIngress,service-nodeport.yaml,mandatory.yaml
k8sServiceIngress,service-nodeport.yaml,mandatory.yaml
03-03
k8sServiceIngress,service-nodeport.yaml
紧急!!k8s集群ClusterIp:NodePort无法从外部访问!!!
ytbcc的博客
01-25 674
k8s集群ClusterIp:NodePort无法从外部访问
k8s master不能访问NodePort端口,但可以访问node节点的NodePort端口
zixuan_zhao的博客
07-15 6561
master不能访问NodePort端口,但可以访问node节点的NodePort端口的解决。
k8s集群唯独一个节点nodeport不通问题调查
weixin_45112997的博客
05-08 1844
k8s集群唯独一个节点nodeport不通问题调查
kubernets nodeport 无法访问
discsthnew的博客
03-25 1万+
Environment Os: centos7.1 Kubelet: 1.6.7 Docker: 17.06-ce Calico: 2.3 K8s Cluster: master, node-1, node-2 Problem 现有 service A, 为了能使外部访问,故将 service type 设为NodePort端口为 31246。 A 所对应的 pod 运行在 no...
kubernetes踩坑:nodePort拒绝访问的问题
热门推荐
JinchaoLv的博客
03-26 2万+
(1)找到pod所在节点,从pod所在k8s节点上通过{nodeIp}:{nodePort}访问,如果访问不了,可能是pod或service没有成功部署; (2)从其它node节点通过{nodeIp}:{nodePort}访问,如果不能访问,执行 kubectl describe pod {podName} -n={namespace} 查看pod描述信息,找到pod ip,直接对着pod访问{...
Kubernetes——使用NodePort的方式让外部访问Tomcat集群
卑微小韩
11-22 2343
文章目录使用NodePort的方式外部访问Tomcat集群一、通过NodePort的方式1.1 引入服务概念1.2 yml中写一个service1.2.1 关于port、targetPortnodePort的解释1.3 部署service1.3.1 创建service1.3.2 查看service状态1.3.3 查看service详细状态1.3.4 访问测试Kubernetes其他文档列表 使用NodePort的方式外部访问Tomcat集群 一、通过NodePort的方式 1.1 引入服务概念 此时,
k8s集群中nodePort端口不可连接问题排查
J_Lee
04-14 1万+
文章目录1.问题说明2.问题分析3.问题排查4.问题结论5.问题解决 1.问题说明 今天早上发现,k8s其中有一个服务映射的 nodePort ,在k8s集群外的同内网服务器中,两次连接该服务时,一次可连接,一次不能连接,即50%的几率可以正常连接,使用telnet测试如下: // 可正常连接 # telnet 192.168.21.202 30001 Trying 192.168.21.202... Connected to 192.168.21.202. Escape character is '^]'
解决k8s 外网无法访问nodePort问题-yellowcong
05-30 1万+
部署玩k8s后,自动部署了一个java的web项目,然后本地访问都好使,就是外部访问,就是不好使,搞了半天,后来发现了,由于k8s的的iptables导致的,设置转发,即可解决这个问题。 iptables -P FORWARD ACCEPT ...
k8s Service 怎么设置固定端口映射访问
06-10
在 Kubernetes 中,可以通过 NodePort 类型的 Service设置固定端口映射访问。NodePort 会在每个节点上监听一个固定端口,并将请求转发到后端 Pod 的对应端口,从而实现访问。 下面是一个示例的 NodePort Service...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值