为什么kube-proxy无法将流量路由到另一个工作程序节点?

时间:2019-03-11 10:43:17

标签: kubernetes kube-proxy

我已经部署了几种不同的服务,并且总是收到相同的错误。

可以从运行Pod的计算机的节点端口上访问该服务。在另外两个节点上,我超时了。

kube-proxy在所有工作程序节点上运行,我可以从kube-proxy的日志文件中看到已添加服务端口并且已打开节点端口。 在这种情况下,我已经部署了印花布上的星星演示

Kube-proxy日志输出:

Mar 11 10:25:10 kuben1 kube-proxy[659]: I0311 10:25:10.229458     659 service.go:309] Adding new service port "management-ui/management-ui:" at 10.32.0.133:9001/TCP
Mar 11 10:25:10 kuben1 kube-proxy[659]: I0311 10:25:10.257483     659 proxier.go:1427] Opened local port "nodePort for management-ui/management-ui:" (:30002/tcp)

kube-proxy正在侦听端口30002

root@kuben1:/tmp# netstat -lanp | grep 30002
tcp6       0      0 :::30002                :::*                    LISTEN      659/kube-proxy   

还定义了一些iptable规则:

root@kuben1:/tmp# iptables -L -t nat | grep management-ui
KUBE-MARK-MASQ  tcp  --  anywhere             anywhere             /* management-ui/management-ui: */ tcp dpt:30002
KUBE-SVC-MIYW5L3VT4JVLCIZ  tcp  --  anywhere             anywhere             /* management-ui/management-ui: */ tcp dpt:30002
KUBE-MARK-MASQ  tcp  -- !10.200.0.0/16        10.32.0.133          /* management-ui/management-ui: cluster IP */ tcp dpt:9001
KUBE-SVC-MIYW5L3VT4JVLCIZ  tcp  --  anywhere             10.32.0.133          /* management-ui/management-ui: cluster IP */ tcp dpt:9001

有趣的是,我可以从任何工作节点访问服务IP

root@kubem1:/tmp# kubectl get svc -n management-ui
NAME            TYPE       CLUSTER-IP    EXTERNAL-IP   PORT(S)          AGE
management-ui   NodePort   10.32.0.133   <none>        9001:30002/TCP   52m

如果我执行“ curl http://10.32.0.133:9001”,则可以从任何工作程序节点访问服务IP /端口

我不明白为什么kube-proxy无法正确“路由”这个问题...
有没有人暗示我可以找到错误?


以下是一些群集规格:

这是一个手工构建的集群,灵感来自Kelsey Hightower的“艰难的Kubernetes”指南。

  • 6个节点(3个主节点:3个工作器)本地vms
  • 操作系统:Ubuntu 18.04
  • K8s:v1.13.0
  • Docker:18.9.3
  • Cni:印花布

主节点上的组件状态看起来还可以

root@kubem1:/tmp# kubectl get componentstatus
NAME                 STATUS    MESSAGE             ERROR
controller-manager   Healthy   ok                  
scheduler            Healthy   ok                  
etcd-0               Healthy   {"health":"true"}   
etcd-1               Healthy   {"health":"true"}   
etcd-2               Healthy   {"health":"true"}     

如果我信任kubectl,工作节点就可以了

root@kubem1:/tmp# kubectl get nodes -o wide
NAME     STATUS   ROLES    AGE   VERSION   INTERNAL-IP      EXTERNAL-IP   OS-IMAGE             KERNEL-VERSION      CONTAINER-RUNTIME
kuben1   Ready    <none>   39d   v1.13.0   192.168.178.77   <none>        Ubuntu 18.04.2 LTS   4.15.0-46-generic   docker://18.9.3
kuben2   Ready    <none>   39d   v1.13.0   192.168.178.78   <none>        Ubuntu 18.04.2 LTS   4.15.0-46-generic   docker://18.9.3
kuben3   Ready    <none>   39d   v1.13.0   192.168.178.79   <none>        Ubuntu 18.04.2 LTS   4.15.0-46-generic   docker://18.9.3

P Ekambaram要求:

root@kubem1:/tmp# kubectl get po -n kube-system
NAME                                   READY   STATUS    RESTARTS   AGE
calico-node-bgjdg                      1/1     Running   5          40d
calico-node-nwkqw                      1/1     Running   5          40d
calico-node-vrwn4                      1/1     Running   5          40d
coredns-69cbb76ff8-fpssw               1/1     Running   5          40d
coredns-69cbb76ff8-tm6r8               1/1     Running   5          40d
kubernetes-dashboard-57df4db6b-2xrmb   1/1     Running   5          40d

1 个答案:

答案 0 :(得分:1)

我找到了解决“问题”的方法。
此行为是由Docker v1.13.x中的更改引起的,此问题已在版本1.8的kubernetes中修复。

简单的解决方案是通过iptables更改转发规则。
在所有工作节点上运行以下cmd:“ iptables -A FORWARD -j ACCEPT”

要正确解决此问题,我必须告诉kube-proxy Pod的cidr。 理论上可以通过两种方式解决:

  • 在kube-proxy命令行中添加“ --cluster-cidr = 10.0.0.0 / 16”作为参数(在本例中为systemd服务文件)
  • 在kubeconfig文件中为kube-proxy添加'clusterCIDR:“ 10.0.0.0/16”'

在我的情况下,cmd行参数无效。
当我将行添加到我的kubeconfig文件中并在所有工作节点上重新启动kube-proxy时,一切正常。

以下是此“ FORWARD”问题的github合并请求:link