1. はじめにプライベート化された環境では、顧客のネットワークアーキテクチャや使用されるクラウドプラットフォームが異なり、K8S ネットワークでさまざまな問題が発生する可能性があります。この記事では、このような問題のトラブルシューティング方法とアイデアに焦点を当てており、関連するネットワーク基盤技術については説明しません。 環境説明 k8s ネットワーク コンポーネントはデフォルトで flannel を使用するため、ここで説明するクラスター ネットワークはすべて flannel です。ただし、他の CNI コンポーネントを使用している場合でも、トラブルシューティングのアイデアについてはこの記事を参照できます。 2. 異常なシナリオk8s クラスターネットワークが異常かどうかを判断するにはどうすればよいでしょうか?
以下の方法でトラブルシューティングを行うことができます。いずれかのメソッドの結果が予期しないものである場合、k8s クラスター ネットワークに異常があることが確認されます。 トラブルシューティングの手順
以下の手順に従ってください。 ノード名、podcidr、アドレスを照会して出力します。 このコマンドはすべてのノードで実行する必要があります。デプロイメント マシンで ansible を使用して、上記のコマンドで取得した CIDR アドレスを呼び出し、ping 操作を実行できます。 seq はノードの数に応じて設定されます。 上記の結果から、合計 6 つの K8S ノードがあり、サブネットは 172.27.0 ~ 172.27.5 であることがわかります。 次のシェル スクリプトを使用して、ポッド サブネットをテストします。正常に動作した場合は、「up」と印刷されます。 予期しない結果: 特定のノードで固定 ping 例外が発生した場合、対応するノード間の
これはすべてのノードで実行する必要があり、単一のマシン上で Ansible を使用して呼び出すことができます。 ping 操作は第 3 層操作に属します。一部の環境ではpingが禁止されているため、以下のコマンドで確認できます。 HTTP リクエストを使用して、coredns メトリック インターフェースにアクセスします。ステータス コード 200 は通常の動作を示し、ステータス コード 000 はネットワーク障害を示します。 DNS を使用して kubernetes.default アドレスを照会します。戻りがあれば正常ということになります。 予期しない結果: DNS クエリは接続がタイムアウトしたことを報告します。サーバーにアクセスできず、curl は 000 を報告します。どちらもネットワーク異常が発生している可能性があることを示しています。 3. 異常なシナリオ上記の方法でクラスターノードに異常があることを確認したら、次のアイデアを使用して 1 つずつ確認することができます。
用語集:ip_forwardはルーティング転送機能を表します。 0 の場合は無効になります。 1 に設定すると有効になります。 vxlan のクロスレイヤー 3 機能により、クラスター ノードは、ターゲット ホストが自身のものではないデータ パケットを転送する必要があります。 原因: 展開中に、永続的な効果を確保するために、net.ipv4.ip_forward=1 が /etc/sysctl.conf に追加されます。 問題箇所: クラスターを再起動すると、ポッドに異常があり、ネットワークに接続されていないことがわかります。 tcmdump パケット キャプチャにより、フランネル トラフィックが正常であることがわかります。 処理 ローカル マシンのカーネル パラメータを照会し、すべてのノードで実行します。 Ansible を使用して、デプロイメント マシン上で呼び出すことができます。これは読み取り操作であり、安心して実行できます。 sysctl ロード チェーンを印刷すると、関連するカーネル パラメータが変更されるため、実稼働環境では禁止されています (ip_forward が 0 の場合は使用できます)。 ip_forward を 0 に変更したファイルを見つけて、そのファイルを変更し、カーネル パラメータを再ロードします。例外は認められません。
用語集:vxlan は vlan の拡張プロトコルです。第3層ネットワークを貫通して第2層、つまり大規模な第2層ネットワークを拡張できるオーバーレイネットワークです。デフォルトでは、flannel はカプセル化プロトコルとして vxlan を使用し、ポートは 8472 です。 ポート フィールドを追加し、通信ポートを 8475 に変更します。 変更後、関連するデーモンセット ポッドを再起動する必要があります。 ポートの変更が有効にならない場合は、host-gw を使用できます。イントラネット内のノードがレイヤー 2 で相互接続されている場合は、互換性が高くネットワーク効率の高い host-gw モードを使用できます。 問題が見つからない場合は、パケットをキャプチャすることで問題を特定できます。 たとえば、coredns ネットワークにアクセスできない場合は、curl を使用してテストします。 次に、別のウィンドウを開いてパケットをキャプチャします。 ファイアウォールのトラブルシューティング 用語集: ここでのファイアウォールは、Cenots では firewalld、UOS では UFW と呼ばれる Linux ソフトウェア ファイアウォールを指します。デフォルトのソフトウェア ファイアウォールにより、関連するデータベースがブロックされます。 一般的に、ufw、public、zone はおそらくデフォルトのシステム ファイアウォールです。 Centos7 を例に、検出後に手動でシャットダウンします。 iptables FORWARD 転送チェーンは、ACCEPT ルールの上にある REJECT ルールを追加します。 ルールを削除した後は正常に動作します。 一般的なセキュリティ ソフトウェアのトラブルシューティング。 用語集: Windows 環境と同様に、XC の背景には、Qi'anxin、Sangfor など、Linux 用のさまざまなセキュリティ ソフトウェアもあります。 |
<<: クラウドにおけるアプリケーションの依存関係の管理: 戦略とベスト プラクティス
現在、多くのウェブマスターが SEO 最適化を行っていますが、SEO において無数の専門家が常に強調...
張小龍の情報に対する考えは、本当に何度も読む価値があります。そこで「短いコンテンツ」について触れられ...
トラフィックとユーザーは、ウェブサイトの 2 つの重要な生命線です。この 2 つは互いに補完し合って...
3月7日、ByteDanceが主催し、Intel、OCP-OSF(Open System Firmw...
[[418362]] [51CTO.com クイック翻訳]ほとんどの人にとって、通常の PC に W...
[[315389]] [51CTO.com クイック翻訳] ガートナーのリサーチディレクターであるR...
みなさんこんにちは、私はXiaosiです。私のSina Weiboアカウントは(Xiaosi Des...
onetechcloud は現在、VPS のプロモーションを行っており、価格は月額 38 元と低価格...
MLMウェブサイトが禁止されているにもかかわらず、依然として人気がある理由:報告、証拠収集、調査が難...
本日の北京時間午前5時頃、東部標準時8帯ではまだ太陽は昇っていなかったが、地球の反対側にあるナスダッ...
[[394186]] [51CTO.com クイック翻訳]オンプレミスの施設でバッチ分析を実行する方...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますウェブサイ...
kubectl コマンドライン ツールは、Kubernetes と対話するための主要なツールです。 ...
今年1月25日に上海市第12期政治協商会議委員に任命されたばかりのJD.comの劉強東社長は、常に注...
今日では、パブリック クラウドの導入が容易になり、企業は以前に比べてそのセキュリティや有効性に対する...