通过一个 IP(主节点)访问 Kubernetes 服务

【问题标题】:Accessing Kubernetes services through one IP (Master Node)通过一个 IP(主节点)访问 Kubernetes 服务
【发布时间】:2018-12-20 00:12:35
【问题描述】:

我有一个 Kubernetes 集群安装,在 centos 7 机器(本地环境)中有一个主节点和两个工作节点。有没有办法通过主节点的 ip 访问将安装在 Kubernetes 上的所有已部署服务(内置和我的微服务)?

我用过法兰绒网络。我的服务在节点端口 30011 上运行。我可以从工作节点 ip 和节点端口 [192.23.12.X1:30011 和 192.23.12.X2:30011] 端口访问我的服务,但我无法访问相同的端口来自主节点的服务[192.23.19.21:30011]。

这是我的部署和服务 yaml 文件

deployment.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: am-profile
  labels:
    app: am-profile
spec:
  replicas: 1
  selector:
    matchLabels:
      app: am-profile
  template:
    metadata:
      labels:
        app: am-profile
    spec:
      containers:
      - name: am-profile
        image: 192.23.12.160:8083/am-setting:1.0.0
        ports:
        - containerPort: 8081

service.yaml

apiVersion: v1
kind: Service
metadata:
  name: am-profile
  labels:
    app: am-profile
spec:
  type: NodePort
  ports:
   - targetPort: 8081
     port: 8081
     nodePort: 30011
  selector:
     app: am-profile

我想像http://master-node:30011/hello 一样访问此服务。 感谢您的每一次帮助。

这里是ip表保存输出

-A KUBE-NODEPORTS -p tcp -m comment --comment "default/subscriber-profile-service:" -m tcp --dport 30002 -j KUBE-MARK-MASQ 
-A KUBE-NODEPORTS -p tcp -m comment --comment "default/subscriber-profile-service:" -m tcp --dport 30002 -j KUBE-SVC-IUSISESM6NEI4T53 
-A KUBE-SERVICES ! -s 10.244.0.0/16 -d 10.107.113.5/32 -p tcp -m comment --comment "default/subscriber-profile-service: cluster IP" -m tcp --dport 8082 -j KUBE-MARK-MASQ 
-A KUBE-SERVICES -d 10.107.113.5/32 -p tcp -m comment --comment "default/subscriber-profile-service: cluster IP" -m tcp --dport 8082 -j KUBE-SVC-IUSISESM6NEI4T53 [r –

【问题讨论】:

  • 所以你可以从运行 Pod 的节点访问服务,但不能从任何其他节点访问服务?所以和github.com/kubernetes/kubernetes/issues/58908的症状一样?
  • 是的,我可以通过运行 pod 的从节点 ip 访问,但不能通过其他从节点和主节点访问

标签: kubernetes devops flannel


【解决方案1】:

如果 Kubernetes 集群没有网络问题,您可以使用集群的任何节点(包括主节点)访问 NodePort 服务。

默认情况下,kube-proxy pod 创建ip-tables 规则以将流量从NodeIP:NodePort 转发到特定的pod:port。您可以通过在每个节点上运行以下命令来检查现有的ip-tables 规则:

$ sudo iptables-save   
# you may need to install iptables package to use this command
# yum -y install iptables

-A KUBE-NODEPORT ... -j KUBE-SVC-... # shows you port number on the node
-A KUBE-SVC-... -j KUBE-SEP-... # shows you destination rules links and balancing
-A KUBE-SEP-... ... -j DNAT --to-destination <pod-ip:port> # shows you destination for traffic that comes to NodePort

如果所有提到的规则都到位,检查从主节点到节点的连接:

master-node$> curl http://<pod-ip>:<port>/path-if-needed/

如果检查失败并出现连接错误,请检查以下内容:

  • 是否有自定义防火墙或防火墙规则可以丢弃流量?
  • 云 VPC 安全性是否允许节点之间的流量?
  • 网络解决方案(法兰绒、印花布等)是否已安装并正常工作?
  • 是否启用了 SELinux?

【讨论】:

  • -A KUBE-NODEPORTS -p tcp -m comment --comment "default/subscriber-profile-service:" -m tcp --dport 30002 -j KUBE-MARK-MASQ -A KUBE-NODEPORTS -p tcp -m comment --comment "default/subscriber-profile-service:" -m tcp --dport 30002 -j KUBE-SVC-IUSISESM6NEI4T53 -A KUBE-SERVICES ! -s 10.244.0.0/16 -d 10.107.113.5/32 -p tcp -m comment --comment "default/subscriber-profile-service: cluster IP" -m tcp --dport 8082 -j KUBE-MARK-MASQ -A KUBE-SERVICES -d 10.107.113.5/32 -p tcp -m comment --comment "default/subscriber-profile-service: cluster IP" -m tcp --dport 8082 -j KUBE-SVC-IUSISESM6NEI4T53 [r
  • 问题最好加上重要信息。
  • 这里有ip范围不匹配吗?我在初始化集群时使用了 --cidr=10.244.0.0/16 ?
  • 看起来不错。对于 pod 覆盖网络和服务的 ClusterIP 池,您有不同的子网。 10.244.0.0/16 是 flannel 的默认 pod 子网。您可以在 kube-apiserver 的参数中看到服务子网 ( --service-cluster-ip-range )。 kubectl 获取 pod kube-apiserver -n kube-system -o yaml
猜你喜欢
  • 2019-06-29
  • 2020-09-02
  • 2016-11-17
  • 1970-01-01
  • 2019-01-21
  • 2018-09-12
  • 1970-01-01
  • 2018-08-29
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode