2. 程式人生 > >kubernetes calico網路不通的排查思路

kubernetes calico網路不通的排查思路

阿新 發佈:2018-11-06

舉個例子

容器A訪問不了容器B,也就是容器A ping 不通容器B

排查思路:

正向

1 容器A的內容是否傳送到容器A所在的node上
2 容器A所在的節點node是否傳送出去
3 容器B所在的節點node是否接收到容器A所在的節點node傳送的報文
4 容器B所在的節點node是否把報文傳送到容器B中
  • 反向
1 容器B的內容是否傳送到容器B所在的node上
2 容器B所在的節點node是否傳送出去
3 容器A所在的節點node是否接收到容器B所在的節點node傳送的報文
4 容器A所在的節點node是否把報文傳送到容器A中

具體實踐

[[email protected]
 
 ~]# kubectl get pods -owide -n qateam
NAME                     READY     STATUS             RESTARTS   AGE       IP                NODE
asa-532345087-td4wp      1/1       Running            0          1d        192.168.123.209   dev-master-105
aws-3789938515-mkfs5     1/1       Running            1          30d       192.168.123.254   dev-master-105
demo-0                   2/2       Running            0          37d       192.168.4.36      dev-slave-110
demo-1-0                 2/2       Running            0          37d       192.168.19.20     dev-slave-108
demo22-0                 2/2       Running            0          37d       192.168.4.35      dev-slave-110
erfasd-842565593-h94fh   1/1       Running            1          30d       192.168.123.249   dev-master-105
sas-3732401954-fmq45     1/1       Running            1          30d       192.168.123.247   dev-master-105

先用calicoctl檢視容器A的workloadEndpoint:

[[email protected] ~]# calicoctl get workloadendpoint --workload=qateam.asa-532345087-td4wp -oyaml
- apiVersion: v1
  kind: workloadEndpoint
  metadata:
    labels:
      ClusterID: CID-f794208bc85f
      UserID: "45"
      calico/k8s_ns: qateam
      name: asa
      pod-template-hash: "532345087"
    name: eth0
    node: dev-master-105
    orchestrator: k8s
    workload: qateam.asa-532345087-td4wp
  spec:
    interfaceName: calicc354b946ce
    ipNetworks:
    - 192.168.123.209/32
    mac: f6:77:d3:29:1a:50
    profiles:
    - k8s_ns.qateam
  • 可以看到容器A的相關網路的資訊
1 容器A的繫結的網絡卡 calicc354b946ce
2 容器A的mac地址f6:77:d3:29:1a:50 
3 容器的IP地址192.168.123.209/32 所在的節點dev-master-105

檢視容器A內的網絡卡是否正確,ip和mac是否與從calico中查詢到的一致:

[[email protected] ~]# kubectl exec -it asa-532345087-td4wp -n qateam sh
sh-4.2# ifconfig 
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.123.209  netmask 255.255.255.255  broadcast 0.0.0.0
        inet6 fe80::f477:d3ff:fe29:1a50  prefixlen 64  scopeid 0x20<link>
        ether f6:77:d3:29:1a:50  txqueuelen 0  (Ethernet)
        RX packets 5041  bytes 13366685 (12.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3953  bytes 263623 (257.4 KiB)
        TX errors 0  dropped 1 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
  •  

可以看到mac地址以及ip地址 跟通過calicoctl 取到的是一致的

檢視容器A的預設路由是否是169.254.1.1,且沒有額外的路由:

sh-4.2# ip route
default via 169.254.1.1 dev eth0 
169.254.1.1 dev eth0 scope link

node上執行,檢視calicc354b946ce的網絡卡的mac地址是否跟之前通過calicoctl查詢得到的結果一致

[[email protected] ~]# ip link show calicc354b946ce
18: [email protected]: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT 
    link/ether 22:49:04:09:0b:cd brd ff:ff:ff:ff:ff:ff link-netnsid 3

檢視容器A內記錄的169.254.1.1的mac地址是否是node上的calico網絡卡的mac

sh-4.2# ip neigh
169.254.1.1 dev eth0 lladdr 22:49:04:09:0b:cd STALE

這裡需要一點說明,使用calico後,在容器內只有一條預設路由,所有的報文都通過169.254.1.1送出。但是這個IP是RFC約定保留的無效IP,報文怎麼還能送出去呢? 
祕密就是容器內的arp記錄,在容器A內記錄的169.254.1.1的mac地址是: 
node上的caliXX網絡卡的mac。 
node上的caliXX網絡卡和容器內的eth0網絡卡,是一對veth裝置。veth網絡卡的特性是,向eth0寫入的報文,會通過caliXX流出。 
在容器A中向eth0寫入的報文,它目的mac是caliXX網絡卡的mac,當報文經caliXX流出時,就 進入到了node的協議棧中,開始在node的網路空間中流轉。

在容器A所在的node上用tcpdump監聽calicc354b946ce網絡卡,檢視是否能夠收到容器A發出的報文:

[[email protected] ~]# tcpdump -i calicc354b946ce
tcpdump: WARNING: calicc354b946ce: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on calicc354b946ce, link-type EN10MB (Ethernet), capture size 65535 bytes

檢查傳送端node上的路由,目標IP的下一跳地址是否正確,目標IP是容器的地址,檢查下一跳是否對應了正確的node ip:

...
192.168.19.0/26 via 10.39.0.105 dev tunl0  proto bird onlink 
...

這條路由是通過BGP協議得知的,它的意思是說192.168.19.0/26這個網段可以通過10.39.0.105到達。

然後還需要檢查傳送端node上的iptables規則,看一下iptable是否拒絕了這個報文。

很多元件都會設定iptables規則,有可能是別的元件,譬如docker,設定的規則導致不通。

從calico中獲取接收端容器B的資訊:

[[email protected] ~]# calicoctl get workloadendpoint --workload=qateam.dev-3629875698-b58t6 -oyaml
- apiVersion: v1
  kind: workloadEndpoint
  metadata:
    labels:
      ClusterID: CID-f794208bc85f
      UserID: "45"
      calico/k8s_ns: qateam
      name: dev
      pod-template-hash: "3629875698"
      tenxcloud.com/appName: dev
      tenxcloud.com/svcName: dev
    name: eth0
    node: dev-master-105
    orchestrator: k8s
    workload: qateam.dev-3629875698-b58t6
  spec:
    interfaceName: cali9ee0bd99a15
    ipNetworks:
    - 192.168.123.248/32
    mac: 56:eb:69:42:68:d9
    profiles:
    - k8s_ns.qateam

可以得到容器B的以下資訊:

1.容器的網路介面(網絡卡)cali9ee0bd99a15
2.容器的節點dev-master-105

監聽容器B所在node的網絡卡,檢查是否收到了容器A所在的node傳送來的報文:

[[email protected] ~]# tcpdump -i cali9ee0bd99a15
tcpdump: WARNING: cali9ee0bd99a15: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on cali9ee0bd99a15, link-type EN10MB (Ethernet), capture size 65535 bytes

檢查容器B所在node上的路由,檢查目標IP是否對應了正確的calico網絡卡:

[[email protected] ~]# ip route
...
192.168.123.248 dev cali9ee0bd99a15  scope link 
...

前面我們說明了報文如何從容器A到達容器A所在的node,那麼還有一個問題是, 報文又是怎樣從node到達容器內部的呢?

答案是node上的路由。

上面那條路由的意思是,192.168.60.173這個IP對應的網絡卡是caliXXX,報文會被寫入到這個網絡卡中。 這個網絡卡和容器內的網絡卡是一對veth裝置,寫入caliXX的報文會通過容器內的eth0流出,從而進入到容器的網路空間中。

這裡同樣需要檢查接收端node上的iptables規則,看一下報文是否被iptables拒絕。 
參考:

http://mp.weixin.qq.com/s/MZIj_cvvtTiAfNf_0lpfTg

相關推薦

kubernetes calico網路不通排查思路

舉個例子 容器A訪問不了容器B,也就是容器A ping 不通容器B 排查思路: 正向 1 容器A的內容是否傳送到容器A所在的node上 2 容器A所在的節點node是否傳送出去 3 容器B所在的節點node是否接收到容器A所在的節點node傳送的報文 4 容器B所在的節點node是否

kubernetes calico網路qos設計

整體需求 實現pod網路流量的QoS,包括出口流量跟入口流量。 技術方案 底層技術方案使用linux核心iproute2包中tc(trafficcontrol)命令。Linux中的QoS分為入口(I

kubernetes叢集calico網路部署

kubernetes叢集calico網路部署 一.部署環境及架構 作業系統:ubuntu14.04 Kubernetes:1.3.5 Etcd版本:2.2.1 Docker版本:1.10.1

Linux 連接數過多排查思路

div linux netstat tcp連接 linu 占用 nap code 思路 ## 在連接數報警的機器上,查看某個端口tcp連接來源,並排序 netstat -natl |grep ^tcp |grep ":2181" |awk ‘{print $5}‘|awk

RPC服務超時排查思路

log 時間 業務 超時 超時時間 提供者 服務提供者 堆棧 div RPC服務超時排查思路- 1、查看服務提供者日誌相關信息進行排查- 2、查看消費者的超時時間設置是否合理- 3、查看服務提供者業務邏輯是否有DB操作,有的話看是否有慢SQL- 4、查看服務提供者業務邏輯

linux運維系統故障排查思路及常見故障處理

運維故障 故障排查 常見linux故障 一 linux系統故障的一般處理思路 報錯信息--->查閱日誌文件--->分析定位問題--->解決問題。二 linux系統無法啟動原因及解決 系統無法啟動的原因很多,常見的有下面幾種情況: 1 文件系統被破壞,常常因斷電和

windows入侵排查思路

nload onf for ddos攻擊 ros 2008r2 安全事件 勒索 行處理 0x00 前言 當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還

壓力測試過程中MySQL服務CPU占用率過高的問題排查思路

建立索引 效果 mysql服務器 還要 數據庫服務 如果 頻率 water vpd 〇、經驗總結: 在關註業務接口的TPS時,也要關註數據庫服務器的QPS。如果一個業務流程裏包含多條查詢,那麽業務接口TPS的上升對數據庫服務器QPS的放大效應會很明顯。 如果查詢結果集不大

Linux應急響應入侵排查思路

upd ron pub 進程 二進制 per rontab 有效 delet 0x00 前言 ? 當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過程,同時

windows應急響應入侵排查思路

tab clas 公眾 360殺毒 data- 觀察 src 利用 settings 0x00 前言 ? 當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,急需第一時間進行處理,使企業的網絡信息系統在最短時間內恢復正常工作,進一步查找入侵來源,還原入侵事故過

網站模擬問題排查思路和方法大盤點

上一篇文章《阿里雲網站伺服器映象取證方法》釋出後,廣大一線電子資料取證工作人員都覺得非常實用,但是在操作過程中,常常遇到網站模擬後,卻無法正常開啟的現象,本篇文章效率源效哥盤點下網站模擬問題排查思路和方法,希望能幫到大家。   一、問題原因 在實際取證過程中,網站在本地進

linux服務器更換主板 網絡不通排查

net 生成 inux 修改 不用 報錯 etc eth0 eboot 一..由於更換了主板或網卡,導致mac地址改變,需要重新生成: 1、將網卡配置文件中的原mac地址註銷 2、將/etc/udev/rules.d/70-persistent-net.rules文件刪除後

Kubernetes: 叢集網路配置 - flannel

參考: [ Kubernetes 權威指南 ] Kubernetes 叢集搭建可以參考 [ Kubernetes : 多節點 k8s 叢集搭建實踐 ] 在多個 Node 組成的 Kubernetes 叢集內, Kubernetes 本身不會對跨主機容器網路進行設定. flannel 就是解決跨主機容器

Docker Kubernetes Volume 網路資料卷

Docker Kubernetes Volume 網路資料卷 由於支援網路資料卷眾多 今天只拿nfs作為案例。 支援網路資料卷 nfs iscsi glusterfs awsElasticBlockStore cephfs azureFileVolume azureDisk

Docker Kubernetes Service 網路服務代理模式詳解

Docker Kubernetes  Service 網路服務代理模式詳解 Service service是實現kubernetes網路通訊的一個服務 主要功能:負載均衡、網路規則分佈到具體pod 注:kubernetes deployment服務分配伺服器負載均衡VIP只能NO

基於calico網路策略

一、簡介 Calico是一個純三層的協議,為OpenStack虛機和Docker容器提供多主機間通訊。Calico不使用重疊網路比如flannel和libnetwork重疊網路驅動,它是一個純三層的方法,使用虛擬路由代替虛擬交換,每一臺虛擬路由通過BGP協議傳播可達資訊(路由)到剩餘資料中心。 &n

linux 網路故障排查

當linux作業系統產生網路故障時,應先從硬體到軟體、從自身到全域性。 1,檢查網線、網絡卡。 到機房裡檢查網線兩端是否都亮燈,普通伺服器的話應該是綠燈常亮為正常,交換機綠燈閃爍表示正在傳輸資料。 也可以通過命令ethtool ethX來檢視某一網絡卡的鏈路是否物理連通。 其中,speed是當前

linux網路故障排查

當linux作業系統產生網路故障時,應先從硬體到軟體、從自身到全域性。 1,檢查網線、網絡卡。 到機房裡檢查網線兩端是否都亮燈,普通伺服器的話應該是綠燈常亮為正常,交換機綠燈閃爍表示正在傳輸資料。 也可以通過命令ethtool ethX來檢視某一網絡卡的鏈路是否物理連通。 其中,speed是當前

Docker配置calico網路

Calico網路簡介 Calico為容器和虛擬機器工作負載提供安全的網路連線。 Calico建立並管理平面第3層網路,為每個工作負載分配完全可路由的IP地址。工作負載可以在沒有IP封裝或網路地址轉換的情況下進行通訊,以實現裸機效能,簡化故障排除和更好的互操作性。在需要overlay的環境

hbase問題排查思路

HBCK - HBCK檢查什麼? (1)HBase Region一致性 叢集中所有region都被assign,而且deploy到唯一一臺RegionServer上 該region的狀態在記憶體中、hbase:meta表中以及zookeeper這三個地方需要