我在玩 Docker swarm,
我有一个三节点集群、1 个管理器和 2 个工作节点。我的所有服务都使用 VIP。
我有一个奇怪的情况,我重新启动了工作节点。
我执行了docker node ls,工作节点是Ready。docker service ls 会告诉我工作人员中容器的复制是好的。
问题:我无法通过入口网络加入节点。其他节点中的任何容器都无法访问该工作节点中的容器。
我检查了它们都加入入口网络的容器。
我从同一个节点中卷曲了容器,它们做出了响应。
我从容器中 ping 了服务名称(在同一个故障节点中),它工作正常。
我从经理那里将工人容器卷曲在工人中不起作用!!
我用工人的 IP 地址卷曲,他们回应了。
我重新启动了工作节点,但问题仍然存在,然后我重新启动了整个集群,它又可以工作了!
对我刚刚目睹的事情有什么解释吗?
我最担心这会发生在生产环境中。
提前谢谢您。
【问题讨论】:
标签: docker docker-swarm docker-ingress
当节点(工作人员和管理人员)之间未打开覆盖网络端口时,会发生这种情况。从Docker's documentation开始,需要打开以下端口:
- 用于集群管理通信的 TCP 端口 2377
- 用于节点间通信的 TCP 和 UDP 端口 7946
- UDP 端口 4789 用于覆盖网络流量
这可能会被任一端的 iptables、中间的网络路由器/防火墙,甚至 VMWare NSX 等工具所阻止。要验证端到端连接是否正常工作,您可以在每个节点的选定端口上运行 tcpdump,并确保离开一个节点的请求到达另一个节点。
集群中每个节点的相关iptables规则是:
iptables -I INPUT -p tcp -m tcp --dport 2376 -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 2377 -j ACCEPT
iptables -I INPUT -p tcp -m tcp --dport 7946 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 7946 -j ACCEPT
iptables -I INPUT -p tcp -m udp --dport 4789 -j ACCEPT
iptables -I INPUT -p 50 -j ACCEPT # allows ipsec when secure overlay is enabled
如果您无法调整防火墙设置,可以使用与 4789 和 docker swarm init --data-path-port 不同的覆盖网络端口配置 swarm 模式
【讨论】: