Pods in einem bestimmten Knoten haben keinen Internetzugang

Question 1

Das Problem scheint nach dem Betriebssystem-Upgrade aufgetreten zu sein. Überprüfen Sie daher, ob das CNI-Plugin, die CRIs und die Container-Images der Pods auf dem neuesten Stand und mit der neueren Betriebssystemversion 22.04 kompatibel sind.

Das Problem kann aus verschiedenen Gründen auftreten, beispielsweiseNetzwerkrichtlinienBlockieren des Zugriffs, Konfiguration des Pod-Netzwerks und Calico CNI-Probleme. Befolgen Sie die folgenden Schritte, um Ihr Problem zu lösen:

Sehen Sie sich die CoreDNS-Protokolle und Pod-Protokolle an, um das Problem zu verstehen. Durch Ausführen der folgenden Befehle erhalten Sie weitere Informationen:

kubectl logs --namespace=kube-system -l k8s-app=kube-dns

kubectl loggt Podname
Überprüfen Sie alle Netzwerkrichtlinien, die den Datenverkehr zum Pod blockieren. Sie erhalten weitere Informationen, wenn Sie den folgenden Befehl ausführen:kubectl get networkpolicy
Überprüfen der erforderlichen Portsgeöffnet sind oder nicht.
Überprüfen Sie, ob die Firewall-Regel im Pod den Datenverkehr blockieren könnte.
Match pods CIDR und Calico's Standard ist 192.168.0.0/16, sieheGitHub-Kommentarfür mehr Details.
Wenn der HTTP-Server auf DNS-Namen angewiesen ist, stellen Sie sicher, dassDNS-Auflösungist im Cluster richtig konfiguriert.

Bearbeiten1

Manchmal gibt es keine Probleme mit CoreDNS, aber aufgrund von Netzwerkproblemen von k8s wird der Datenverkehr zu ClusterIPs nicht richtig an Pods weitergeleitet. Dies kann am Kube-Proxy liegen. Siehe k8sDebug-Dienstezur Anleitung zur Fehlerbehebung.
Überprüfen Sie auch, ob sich Pod-Netzwerke mit den Host-Netzwerken überschneiden. SieheInstallieren eines Pod-Netzwerk-Add-onsfür mehr Details.
Manchmal werden netzwerkbezogene Funktionen während des Upgrades nicht geladen und wenn Sie in solche Pods gelangen, arbeiten Sie als Root-Benutzer. Versuchen Sie es also apt-get updateund später können Sie es tunapt-get install curl.

Answer

Das Problem scheint nach dem Betriebssystem-Upgrade aufgetreten zu sein. Überprüfen Sie daher, ob das CNI-Plugin, die CRIs und die Container-Images der Pods auf dem neuesten Stand und mit der neueren Betriebssystemversion 22.04 kompatibel sind.

Das Problem kann aus verschiedenen Gründen auftreten, beispielsweiseNetzwerkrichtlinienBlockieren des Zugriffs, Konfiguration des Pod-Netzwerks und Calico CNI-Probleme. Befolgen Sie die folgenden Schritte, um Ihr Problem zu lösen:

Sehen Sie sich die CoreDNS-Protokolle und Pod-Protokolle an, um das Problem zu verstehen. Durch Ausführen der folgenden Befehle erhalten Sie weitere Informationen:

kubectl logs --namespace=kube-system -l k8s-app=kube-dns

kubectl loggt Podname
Überprüfen Sie alle Netzwerkrichtlinien, die den Datenverkehr zum Pod blockieren. Sie erhalten weitere Informationen, wenn Sie den folgenden Befehl ausführen:kubectl get networkpolicy
Überprüfen der erforderlichen Portsgeöffnet sind oder nicht.
Überprüfen Sie, ob die Firewall-Regel im Pod den Datenverkehr blockieren könnte.
Match pods CIDR und Calico's Standard ist 192.168.0.0/16, sieheGitHub-Kommentarfür mehr Details.
Wenn der HTTP-Server auf DNS-Namen angewiesen ist, stellen Sie sicher, dassDNS-Auflösungist im Cluster richtig konfiguriert.

Bearbeiten1

Manchmal gibt es keine Probleme mit CoreDNS, aber aufgrund von Netzwerkproblemen von k8s wird der Datenverkehr zu ClusterIPs nicht richtig an Pods weitergeleitet. Dies kann am Kube-Proxy liegen. Siehe k8sDebug-Dienstezur Anleitung zur Fehlerbehebung.
Überprüfen Sie auch, ob sich Pod-Netzwerke mit den Host-Netzwerken überschneiden. SieheInstallieren eines Pod-Netzwerk-Add-onsfür mehr Details.
Manchmal werden netzwerkbezogene Funktionen während des Upgrades nicht geladen und wenn Sie in solche Pods gelangen, arbeiten Sie als Root-Benutzer. Versuchen Sie es also apt-get updateund später können Sie es tunapt-get install curl.

Question 2

Die Lösung bestand darin, den Server neu zu starten ...

Answer

Die Lösung bestand darin, den Server neu zu starten ...

Question 3

Die Anzeige von Kubelet 404ist erwartungsgemäß, da die URL nicht existiert. Versuchen Sie Folgendes:

curl -k https://localhost:10250/healthz

ip_forwardIch würde mit der Überprüfung des fehlerhaften Knotens beginnen

cat /proc/sys/net/ipv4/ip_forward

Wenn das nicht der Fall ist, werde ich die von Calico durchgesetzten Richtlinien überprüfen.

kubectl get networkpolicy -A
kubectl get gnp
kubectl get cnp -A

Als nächstes würde ich überprüfen, natob der IPPool aktiviert ist

kubetl get ippool -o yaml

Überprüfen Sie das Gateway.

Hinweis: Durch das Leeren von iptables wird Ihre Verbindung möglicherweise vorübergehend unterbrochen. Stellen Sie sicher, dass Sie über eine Konsolenverbindung verfügen.

Das Leeren von IP-Tabellen wäre vielleicht auch keine schlechte Idee, könnte aber eine Art Regel sein, die sich zu lange aufgehalten hat.

iptables -F

Answer

Die Anzeige von Kubelet 404ist erwartungsgemäß, da die URL nicht existiert. Versuchen Sie Folgendes:

curl -k https://localhost:10250/healthz

ip_forwardIch würde mit der Überprüfung des fehlerhaften Knotens beginnen

cat /proc/sys/net/ipv4/ip_forward

Wenn das nicht der Fall ist, werde ich die von Calico durchgesetzten Richtlinien überprüfen.

kubectl get networkpolicy -A
kubectl get gnp
kubectl get cnp -A

Als nächstes würde ich überprüfen, natob der IPPool aktiviert ist

kubetl get ippool -o yaml

Überprüfen Sie das Gateway.

Hinweis: Durch das Leeren von iptables wird Ihre Verbindung möglicherweise vorübergehend unterbrochen. Stellen Sie sicher, dass Sie über eine Konsolenverbindung verfügen.

Das Leeren von IP-Tabellen wäre vielleicht auch keine schlechte Idee, könnte aber eine Art Regel sein, die sich zu lange aufgehalten hat.

iptables -F

Pods in einem bestimmten Knoten haben keinen Internetzugang

Antwort1

Antwort2

Antwort3

verwandte Informationen