2. 程式人生 > >一次Flannel和Docker網路不通定位問題 一次Flannel和Docker網路不通定位問題

一次Flannel和Docker網路不通定位問題 一次Flannel和Docker網路不通定位問題

阿新 發佈:2018-12-25

一次Flannel和Docker網路不通定位問題

 

 檢視路由表的配置

路由表情況

複製程式碼 
[[email protected] ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.44.1    0.0.0.0         UG    100    0        0 enp0s3
10.1.0.0        0.0.0.0         255.255.0.0     U     0      0        0 flannel0
10.1.19.0       0.0.0.0         255.255.255.0   U     0      0        0 docker0
192.168.44.0    0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
複製程式碼

10.1.0.0為flannel0網段

而在這臺機器上啟動的pod都是在10.1.19.0網段的

 node的節點路由表

複製程式碼 
[[email protected] flannel]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.44.1    0.0.0.0         UG    100    0        0 enp0s3
10.1.0.0        0.0.0.0         255.255.0.0     U     0      0        0 flannel0
10.1.28.0       0.0.0.0         255.255.255.0   U     0      0        0 docker0
192.168.44.0    0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
複製程式碼

10.1.0.0為flannel0網段

而在這臺機器上啟動的pod都是在10.1.28.0網段的

 所有pod的ip地址

複製程式碼 
[[email protected] ~]# kubectl get pods  -o wide
NAME                                     READY     STATUS    RESTARTS   AGE       IP          NODE
helloworld-service-2437162702-r9v2q      2/2       Running   9          9d        10.1.28.3   node1
helloworld-service-v2-2637126738-s284c   2/2       Running   10         9d        10.1.28.4   node1
istio-egress-2869428605-2ftgl            1/1       Running   6          13d       10.1.28.6   node1
istio-ingress-1286550044-6g3vj           1/1       Running   6          13d       10.1.28.5   node1
istio-mixer-765485573-23wc6              1/1       Running   6          13d       10.1.28.7   node1
istio-pilot-1495912787-g5r9s             2/2       Running   11         13d       10.1.28.9   node1
tool-185907110-ms991                     2/2       Running   4          8d        10.1.28.8   node1
複製程式碼

 正常情況下,ping pod節點的網路應該是通的

[[email protected] ~]# ping 10.1.28.3
PING 10.1.28.3 (10.1.28.3) 56(84) bytes of data.
64 bytes from 10.1.28.3: icmp_seq=1 ttl=61 time=0.967 ms
64 bytes from 10.1.28.3: icmp_seq=2 ttl=61 time=1.88 ms
64 bytes from 10.1.28.3: icmp_seq=3 ttl=61 time=0.867 ms
64 bytes from 10.1.28.3: icmp_seq=4 ttl=61 time=2.23 ms

 

整個通訊鏈路原理及報文追蹤

 整個鏈路簡單的圖如下

比較詳細的可以參考下面這張

 

  •  資料從源容器中發出後,經由所在主機的docker0虛擬網絡卡轉發到flannel0虛擬網絡卡,這是個P2P的虛擬網絡卡,flanneld服務監聽在網絡卡的另外一端。 
  • Flannel通過Etcd服務維護了一張節點間的路由表。 
  • 源主機的flanneld服務將原本的資料內容UDP封裝後根據自己的路由表投遞給目的節點的flanneld服務,資料到達以後被解包,然後直 接進入目的節點的flannel0虛擬網絡卡,然後被轉發到目的主機的docker0虛擬網絡卡,最後就像本機容器通訊一下的有docker0路由到達目標容 器。 

 

所以要定位網路的不通就需要一步步的看報文是在哪處的轉發出了問題。

源端網路

首先檢視發器端的flannel0的地址

複製程式碼 
[[email protected] ~]# ifconfig
docker0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 10.1.19.1  netmask 255.255.255.0  broadcast 0.0.0.0
        ether 02:42:3a:a6:1d:bb  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.44.108  netmask 255.255.255.0  broadcast 192.168.44.255
        inet6 fe80::a00:27ff:fee2:ae0a  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:e2:ae:0a  txqueuelen 1000  (Ethernet)
        RX packets 20866  bytes 2478600 (2.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 21990  bytes 13812121 (13.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

flannel0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1472
        inet 10.1.19.0  netmask 255.255.0.0  destination 10.1.19.0
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 14  bytes 1176 (1.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 14  bytes 1176 (1.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
複製程式碼

 然後執行下面命令監聽從flannel0出去的任何的包

tcpdump -i flannel0 -nn host 10.1.19.0

同時再找個視窗ping pod,這是收到的資訊是 ping 10.1.28.3

複製程式碼 
[[email protected] ~]# tcpdump -i flannel0 -nn host 10.1.19.0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on flannel0, link-type RAW (Raw IP), capture size 65535 bytes
16:28:43.961488 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 1, length 64
16:28:43.963340 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 1, length 64
16:28:44.962567 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 2, length 64
16:28:44.963339 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 2, length 64
16:28:45.966388 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 3, length 64
16:28:45.966962 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 3, length 64
16:28:46.967629 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 4, length 64
16:28:46.968486 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 4, length 64
複製程式碼

可以看到報文已經發出,然後看傳送端的物理網絡卡enp0s3,繼續執行ping命令,然後看有沒有轉發到物理網絡卡的包

因為是master節點,所以有很多8080,443埠發的包,可以忽略,真實環境中相對比較少.核心可以看最後為UDP,length 84,屬於把ping的包64封裝後的包的大小。

複製程式碼 
[[email protected] ~]# tcpdump -i enp0s3 -nn host 192.168.44.109
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 65535 bytes
16:46:59.146611 IP 192.168.44.108.8080 > 192.168.44.109.50060: Flags [P.], seq 1518764712:1518765120, ack 650646529, win 327, options [nop,nop,TS val 4304586 ecr 7794005], length 408
16:46:59.146863 IP 192.168.44.108.443 > 192.168.44.109.51564: Flags [P.], seq 474973224:474973663, ack 3595606551, win 248, options [nop,nop,TS val 4304586 ecr 7794006], length 439
16:46:59.147013 IP 192.168.44.109.50060 > 192.168.44.108.8080: Flags [.], ack 408, win 1424, options [nop,nop,TS val 7794610 ecr 4304586], length 0
16:46:59.147301 IP 192.168.44.109.51564 > 192.168.44.108.443: Flags [.], ack 439, win 1407, options [nop,nop,TS val 7794610 ecr 4304586], length 0
16:46:59.224901 IP 192.168.44.109.5353 > 224.0.0.251.5353: 0*- [0q] 1/0/0 (Cache flush) PTR node1.local. (109)
16:46:59.259598 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 3602262654:3602262700, ack 901869271, win 1407, options [nop,nop,TS val 7794724 ecr 4297197], length 46
16:46:59.267671 IP 192.168.44.108.8285 > 192.168.44.109.8285: UDP, length 84
16:46:59.269133 IP 192.168.44.109.8285 > 192.168.44.108.8285: UDP, length 84
16:46:59.270082 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 1:66, ack 46, win 1432, options [nop,nop,TS val 4304709 ecr 7794724], length 65
16:46:59.270419 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 66:639, ack 46, win 1432, options [nop,nop,TS val 4304709 ecr 7794724], length 573
16:46:59.270734 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [.], ack 66, win 1407, options [nop,nop,TS val 7794735 ecr 4304709], length 0
16:46:59.271040 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [.], ack 639, win 1407, options [nop,nop,TS val 7794735 ecr 4304709], length 0
16:46:59.272370 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 46:94, ack 639, win 1407, options [nop,nop,TS val 7794736 ecr 4304709], length 48
16:46:59.272522 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 94:667, ack 639, win 1407, options [nop,nop,TS val 7794736 ecr 4304709], length 573
16:46:59.272743 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 667:705, ack 639, win 1407, options [nop,nop,TS val 7794736 ecr 4304709], length 38
16:46:59.278885 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [.], ack 705, win 1432, options [nop,nop,TS val 4304718 ecr 7794736], length 0
16:46:59.283084 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 639:681, ack 705, win 1432, options [nop,nop,TS val 4304722 ecr 7794736], length 42
16:46:59.283224 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 681:723, ack 705, win 1432, options [nop,nop,TS val 4304722 ecr 7794736], length 42
16:46:59.284143 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [.], ack 723, win 1407, options [nop,nop,TS val 7794748 ecr 4304722], length 0
16:46:59.287279 IP 192.168.44.108.8080 > 192.168.44.109.50060: Flags [P.], seq 408:824, ack 1, win 327, options [nop,nop,TS val 4304726 ecr 7794610], length 416
16:46:59.287584 IP 192.168.44.109.50060 > 192.168.44.108.8080: Flags [.], ack 824, win 1424, options [nop,nop,TS val 7794751 ecr 4304726], length 0
複製程式碼

命令確認ping命令的包發到192.168.44.109

 

目標段網路

再去node1目標端,看物理網絡卡的收包情況,源端繼續執行ping

複製程式碼 
[[email protected] flannel]# tcpdump -i enp0s3 -nn host 192.168.44.108
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 65535 bytes
16:49:04.022476 IP 192.168.44.108.8285 > 192.168.44.109.8285: UDP, length 84
16:49:04.022827 IP 192.168.44.109.8285 > 192.168.44.108.8285: UDP, length 84
16:49:05.022980 IP 192.168.44.108.8285 > 192.168.44.109.8285: UDP, length 84
16:49:05.023425 IP 192.168.44.109.8285 > 192.168.44.108.8285: UDP, length 84
16:49:05.273652 IP 192.168.44.108.8080 > 192.168.44.109.50060: Flags [P.], seq 1518824053:1518824479, ack 650646776, win 336, options [nop,nop,TS val 4430711 ecr 7919368], length 426
16:49:05.273754 IP 192.168.44.109.50060 > 192.168.44.108.8080: Flags [.], ack 426, win 1424, options [nop,nop,TS val 7920736 ecr 4430711], length 0
16:49:05.273951 IP 192.168.44.108.443 > 192.168.44.109.51564: Flags [P.], seq 475036916:475037373, ack 3595607190, win 248, options [nop,nop,TS val 4430711 ecr 7919369], length 457
16:49:05.274091 IP 192.168.44.109.51564 > 192.168.44.108.443: Flags [.], ack 457, win 1407, options [nop,nop,TS val 7920737 ecr 4430711], length 0
複製程式碼

發現源端有包過來,正常

 在目標節點node1上執行,10.1.19.0是源端的flannel0地址,正常。

複製程式碼 
[[email protected] flannel]# tcpdump -i flannel0  -nn host 10.1.19.0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on flannel0, link-type RAW (Raw IP), capture size 65535 bytes
16:51:49.795788 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 1, length 64
16:51:49.795911 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 1, length 64
16:51:50.797484 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 2, length 64
16:51:50.797566 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 2, length 64
16:51:51.796934 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 3, length 64
16:51:51.797024 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 3, length 64
16:51:52.800567 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 4, length 64
16:51:52.800641 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 4, length 64
複製程式碼

最後看目標端docker0有沒有報文,28.3目標pod地址

tcpdump -i docker0  -nn host 10.1.28.3

 

問題定位

遇到的問題是目標端flannel0上有包發過來,但docker0網段沒有任何包。

所以定位是目標段的flannel0->docker0的轉發出了問題。

通過iptables -nvL 檢視現有的iptables規則,發現

chain FORWARD鏈路 policy是DROP,以下命令修改

iptables -P FORWARD ACCEPT

 另外查宿主機的 ip forward是否有問題

sysctl -a | grep ip_forward

 

源端如何找到目標端地址

全靠flannel會找etcd的中的資料,然後進行路由

 

華麗的分割線

====================================================================================

服務啟動順序

 

Kubernetes啟動這些服務的順序非常重要

先是flannel Service

flannel服務啟動時主要做了以下幾步的工作:

  • 從etcd中獲取network的配置資訊
  • 劃分subnet,並在etcd中進行註冊
  • 將子網資訊記錄到/run/flannel/subnet.env
cat /run/flannel/subnet.env

FLANNEL_NETWORK=10.0.0.0/16
FLANNEL_SUBNET=10.0.53.1/24
FLANNEL_MTU=1450
FLANNEL_IPMASQ=false

 

  • 之後將會有一個指令碼將subnet.env轉寫成一個docker的環境變數檔案/run/flannel/docker
cat /run/flannel/docker 

DOCKER_OPT_BIP="--bip=10.0.53.1/24"
DOCKER_OPT_IPMASQ="--ip-masq=true"
DOCKER_OPT_MTU="--mtu=1450"
DOCKER_NETWORK_OPTIONS=" --bip=10.0.53.1/24 --ip-masq=true --mtu=1450 "

 

然後是Docker服務

Docker服務會根據flannel拿到的網段然後把pod啟動在這些網段,這樣Kubernetes在定址pod的時候就會找到相應的宿主機,進行通訊。

如果Docker服務和Flannel服務沒有這種關聯關係的化,很可能Docker先用原來的ip段啟動,而這個段並沒有寫到etcd中,導致定址失敗。

這就是在另一次定位問題的出錯點。

 

==============================================================

驗證是否開牆開通

nc -u 10.93.0.131 (host B) 8472

輸入字元

再host B上,通過tcpdump -i eth0 -nn host hostA來驗證是否能收到報文

 檢視路由表的配置

路由表情況

複製程式碼 
[[email protected] ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.44.1    0.0.0.0         UG    100    0        0 enp0s3
10.1.0.0        0.0.0.0         255.255.0.0     U     0      0        0 flannel0
10.1.19.0       0.0.0.0         255.255.255.0   U     0      0        0 docker0
192.168.44.0    0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
複製程式碼

10.1.0.0為flannel0網段

而在這臺機器上啟動的pod都是在10.1.19.0網段的

 node的節點路由表

複製程式碼 
[[email protected] flannel]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.44.1    0.0.0.0         UG    100    0        0 enp0s3
10.1.0.0        0.0.0.0         255.255.0.0     U     0      0        0 flannel0
10.1.28.0       0.0.0.0         255.255.255.0   U     0      0        0 docker0
192.168.44.0    0.0.0.0         255.255.255.0   U     100    0        0 enp0s3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
複製程式碼

10.1.0.0為flannel0網段

而在這臺機器上啟動的pod都是在10.1.28.0網段的

 所有pod的ip地址

複製程式碼 
[[email protected] ~]# kubectl get pods  -o wide
NAME                                     READY     STATUS    RESTARTS   AGE       IP          NODE
helloworld-service-2437162702-r9v2q      2/2       Running   9          9d        10.1.28.3   node1
helloworld-service-v2-2637126738-s284c   2/2       Running   10         9d        10.1.28.4   node1
istio-egress-2869428605-2ftgl            1/1       Running   6          13d       10.1.28.6   node1
istio-ingress-1286550044-6g3vj           1/1       Running   6          13d       10.1.28.5   node1
istio-mixer-765485573-23wc6              1/1       Running   6          13d       10.1.28.7   node1
istio-pilot-1495912787-g5r9s             2/2       Running   11         13d       10.1.28.9   node1
tool-185907110-ms991                     2/2       Running   4          8d        10.1.28.8   node1
複製程式碼

 正常情況下,ping pod節點的網路應該是通的

[[email protected] ~]# ping 10.1.28.3
PING 10.1.28.3 (10.1.28.3) 56(84) bytes of data.
64 bytes from 10.1.28.3: icmp_seq=1 ttl=61 time=0.967 ms
64 bytes from 10.1.28.3: icmp_seq=2 ttl=61 time=1.88 ms
64 bytes from 10.1.28.3: icmp_seq=3 ttl=61 time=0.867 ms
64 bytes from 10.1.28.3: icmp_seq=4 ttl=61 time=2.23 ms

 

整個通訊鏈路原理及報文追蹤

 整個鏈路簡單的圖如下

比較詳細的可以參考下面這張

 

  •  資料從源容器中發出後,經由所在主機的docker0虛擬網絡卡轉發到flannel0虛擬網絡卡,這是個P2P的虛擬網絡卡,flanneld服務監聽在網絡卡的另外一端。 
  • Flannel通過Etcd服務維護了一張節點間的路由表。 
  • 源主機的flanneld服務將原本的資料內容UDP封裝後根據自己的路由表投遞給目的節點的flanneld服務,資料到達以後被解包,然後直 接進入目的節點的flannel0虛擬網絡卡,然後被轉發到目的主機的docker0虛擬網絡卡,最後就像本機容器通訊一下的有docker0路由到達目標容 器。 

 

所以要定位網路的不通就需要一步步的看報文是在哪處的轉發出了問題。

源端網路

首先檢視發器端的flannel0的地址

複製程式碼 
[[email protected] ~]# ifconfig
docker0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 10.1.19.1  netmask 255.255.255.0  broadcast 0.0.0.0
        ether 02:42:3a:a6:1d:bb  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.44.108  netmask 255.255.255.0  broadcast 192.168.44.255
        inet6 fe80::a00:27ff:fee2:ae0a  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:e2:ae:0a  txqueuelen 1000  (Ethernet)
        RX packets 20866  bytes 2478600 (2.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 21990  bytes 13812121 (13.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

flannel0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1472
        inet 10.1.19.0  netmask 255.255.0.0  destination 10.1.19.0
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 14  bytes 1176 (1.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 14  bytes 1176 (1.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
複製程式碼

 然後執行下面命令監聽從flannel0出去的任何的包

tcpdump -i flannel0 -nn host 10.1.19.0

同時再找個視窗ping pod,這是收到的資訊是 ping 10.1.28.3

複製程式碼 
[[email protected] ~]# tcpdump -i flannel0 -nn host 10.1.19.0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on flannel0, link-type RAW (Raw IP), capture size 65535 bytes
16:28:43.961488 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 1, length 64
16:28:43.963340 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 1, length 64
16:28:44.962567 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 2, length 64
16:28:44.963339 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 2, length 64
16:28:45.966388 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 3, length 64
16:28:45.966962 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 3, length 64
16:28:46.967629 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4520, seq 4, length 64
16:28:46.968486 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4520, seq 4, length 64
複製程式碼

可以看到報文已經發出,然後看傳送端的物理網絡卡enp0s3,繼續執行ping命令,然後看有沒有轉發到物理網絡卡的包

因為是master節點,所以有很多8080,443埠發的包,可以忽略,真實環境中相對比較少.核心可以看最後為UDP,length 84,屬於把ping的包64封裝後的包的大小。

複製程式碼 
[[email protected] ~]# tcpdump -i enp0s3 -nn host 192.168.44.109
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 65535 bytes
16:46:59.146611 IP 192.168.44.108.8080 > 192.168.44.109.50060: Flags [P.], seq 1518764712:1518765120, ack 650646529, win 327, options [nop,nop,TS val 4304586 ecr 7794005], length 408
16:46:59.146863 IP 192.168.44.108.443 > 192.168.44.109.51564: Flags [P.], seq 474973224:474973663, ack 3595606551, win 248, options [nop,nop,TS val 4304586 ecr 7794006], length 439
16:46:59.147013 IP 192.168.44.109.50060 > 192.168.44.108.8080: Flags [.], ack 408, win 1424, options [nop,nop,TS val 7794610 ecr 4304586], length 0
16:46:59.147301 IP 192.168.44.109.51564 > 192.168.44.108.443: Flags [.], ack 439, win 1407, options [nop,nop,TS val 7794610 ecr 4304586], length 0
16:46:59.224901 IP 192.168.44.109.5353 > 224.0.0.251.5353: 0*- [0q] 1/0/0 (Cache flush) PTR node1.local. (109)
16:46:59.259598 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 3602262654:3602262700, ack 901869271, win 1407, options [nop,nop,TS val 7794724 ecr 4297197], length 46
16:46:59.267671 IP 192.168.44.108.8285 > 192.168.44.109.8285: UDP, length 84
16:46:59.269133 IP 192.168.44.109.8285 > 192.168.44.108.8285: UDP, length 84
16:46:59.270082 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 1:66, ack 46, win 1432, options [nop,nop,TS val 4304709 ecr 7794724], length 65
16:46:59.270419 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 66:639, ack 46, win 1432, options [nop,nop,TS val 4304709 ecr 7794724], length 573
16:46:59.270734 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [.], ack 66, win 1407, options [nop,nop,TS val 7794735 ecr 4304709], length 0
16:46:59.271040 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [.], ack 639, win 1407, options [nop,nop,TS val 7794735 ecr 4304709], length 0
16:46:59.272370 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 46:94, ack 639, win 1407, options [nop,nop,TS val 7794736 ecr 4304709], length 48
16:46:59.272522 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 94:667, ack 639, win 1407, options [nop,nop,TS val 7794736 ecr 4304709], length 573
16:46:59.272743 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [P.], seq 667:705, ack 639, win 1407, options [nop,nop,TS val 7794736 ecr 4304709], length 38
16:46:59.278885 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [.], ack 705, win 1432, options [nop,nop,TS val 4304718 ecr 7794736], length 0
16:46:59.283084 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 639:681, ack 705, win 1432, options [nop,nop,TS val 4304722 ecr 7794736], length 42
16:46:59.283224 IP 192.168.44.108.443 > 192.168.44.109.34266: Flags [P.], seq 681:723, ack 705, win 1432, options [nop,nop,TS val 4304722 ecr 7794736], length 42
16:46:59.284143 IP 192.168.44.109.34266 > 192.168.44.108.443: Flags [.], ack 723, win 1407, options [nop,nop,TS val 7794748 ecr 4304722], length 0
16:46:59.287279 IP 192.168.44.108.8080 > 192.168.44.109.50060: Flags [P.], seq 408:824, ack 1, win 327, options [nop,nop,TS val 4304726 ecr 7794610], length 416
16:46:59.287584 IP 192.168.44.109.50060 > 192.168.44.108.8080: Flags [.], ack 824, win 1424, options [nop,nop,TS val 7794751 ecr 4304726], length 0
複製程式碼

命令確認ping命令的包發到192.168.44.109

 

目標段網路

再去node1目標端,看物理網絡卡的收包情況,源端繼續執行ping

複製程式碼 
[[email protected] flannel]# tcpdump -i enp0s3 -nn host 192.168.44.108
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 65535 bytes
16:49:04.022476 IP 192.168.44.108.8285 > 192.168.44.109.8285: UDP, length 84
16:49:04.022827 IP 192.168.44.109.8285 > 192.168.44.108.8285: UDP, length 84
16:49:05.022980 IP 192.168.44.108.8285 > 192.168.44.109.8285: UDP, length 84
16:49:05.023425 IP 192.168.44.109.8285 > 192.168.44.108.8285: UDP, length 84
16:49:05.273652 IP 192.168.44.108.8080 > 192.168.44.109.50060: Flags [P.], seq 1518824053:1518824479, ack 650646776, win 336, options [nop,nop,TS val 4430711 ecr 7919368], length 426
16:49:05.273754 IP 192.168.44.109.50060 > 192.168.44.108.8080: Flags [.], ack 426, win 1424, options [nop,nop,TS val 7920736 ecr 4430711], length 0
16:49:05.273951 IP 192.168.44.108.443 > 192.168.44.109.51564: Flags [P.], seq 475036916:475037373, ack 3595607190, win 248, options [nop,nop,TS val 4430711 ecr 7919369], length 457
16:49:05.274091 IP 192.168.44.109.51564 > 192.168.44.108.443: Flags [.], ack 457, win 1407, options [nop,nop,TS val 7920737 ecr 4430711], length 0
複製程式碼

發現源端有包過來,正常

 在目標節點node1上執行,10.1.19.0是源端的flannel0地址,正常。

複製程式碼 
[[email protected] flannel]# tcpdump -i flannel0  -nn host 10.1.19.0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on flannel0, link-type RAW (Raw IP), capture size 65535 bytes
16:51:49.795788 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 1, length 64
16:51:49.795911 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 1, length 64
16:51:50.797484 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 2, length 64
16:51:50.797566 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 2, length 64
16:51:51.796934 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 3, length 64
16:51:51.797024 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 3, length 64
16:51:52.800567 IP 10.1.19.0 > 10.1.28.3: ICMP echo request, id 4797, seq 4, length 64
16:51:52.800641 IP 10.1.28.3 > 10.1.19.0: ICMP echo reply, id 4797, seq 4, length 64
複製程式碼

最後看目標端docker0有沒有報文,28.3目標pod地址

tcpdump -i docker0  -nn host 10.1.28.3

 

問題定位

遇到的問題是目標端flannel0上有包發過來,但docker0網段沒有任何包。

所以定位是目標段的flannel0->docker0的轉發出了問題。

通過iptables -nvL 檢視現有的iptables規則,發現

chain FORWARD鏈路 policy是DROP,以下命令修改

iptables -P FORWARD ACCEPT

 另外查宿主機的 ip forward是否有問題

sysctl -a | grep ip_forward

 

源端如何找到目標端地址

全靠flannel會找etcd的中的資料,然後進行路由

 

華麗的分割線

====================================================================================

服務啟動順序

 

Kubernetes啟動這些服務的順序非常重要

先是flannel Service

flannel服務啟動時主要做了以下幾步的工作:

  • 從etcd中獲取network的配置資訊
  • 劃分subnet,並在etcd中進行註冊
  • 將子網資訊記錄到/run/flannel/subnet.env
cat /run/flannel/subnet.env

FLANNEL_NETWORK=10.0.0.0/16
FLANNEL_SUBNET=10.0.53.1/24
FLANNEL_MTU=1450
FLANNEL_IPMASQ=false

 

  • 之後將會有一個指令碼將subnet.env轉寫成一個docker的環境變數檔案/run/flannel/docker
cat /run/flannel/docker 

DOCKER_OPT_BIP="--bip=10.0.53.1/24"
DOCKER_OPT_IPMASQ="--ip-masq=true"
DOCKER_OPT_MTU="--mtu=1450"
DOCKER_NETWORK_OPTIONS=" --bip=10.0.53.1/24 --ip-masq=true --mtu=1450 "

 

然後是Docker服務

Docker服務會根據flannel拿到的網段然後把pod啟動在這些網段,這樣Kubernetes在定址pod的時候就會找到相應的宿主機,進行通訊。

如果Docker服務和Flannel服務沒有這種關聯關係的化,很可能Docker先用原來的ip段啟動,而這個段並沒有寫到etcd中,導致定址失敗。

這就是在另一次定位問題的出錯點。

 

==============================================================

驗證是否開牆開通

nc -u 10.93.0.131 (host B) 8472

輸入字元

再host B上,通過tcpdump -i eth0 -nn host hostA來驗證是否能收到報文

相關推薦

Tensorflow實現Mask R-CNN實例分割通用框架,檢測,分割特征點定位搞定(多圖)

優點 設計 orf 時間 rcnn 超越 rain 沒有 add Mask R-CNN實例分割通用框架,檢測,分割和特征點定位一次搞定(多圖) 導語:Mask R-CNN是Faster R-CNN的擴展形式,能夠有效地檢測圖像中的目標,同時還能為每個實例生成一個

機器學習實驗(十):基於WiFi fingerprints用自編碼器(Autoencoders)神經網路(Neural Network)進行定位_2(keras版)

Epoch 1/20 6s - loss: 0.7049 Epoch 2/20 6s - loss: 0.6808 Epoch 3/20 5s - loss: 0.6752 Epoch 4/20 5s - loss: 0.6724 Epoch 5/20 5s - loss: 0.6703 Epoch 6/2

windows10下VM15.x的安裝Centos鏡像nat模式網路不通快速恢復

nmtui 使用 workman 列表 delete 客戶 win 系統 虛擬機 首先發現創建虛擬機後網絡不通,再確認不是軟件安裝包的問題(這個這個有專門網絡效驗碼)這個屬於人為錯誤配置導致的ping 網關不通首先我把問題定位在dhcp上因為網卡上來就沒有分配網絡地址,而且

解決華為5700交換機接口處於discard狀態導致業務不通的故障

交換機stp在以太網交換網中部署生成樹協議後,如果網絡中出現環路,生成樹協議通過拓撲計算,可實現:消除環路:通過阻塞冗余鏈路消除網絡中可能存在的網絡通信環路。鏈路備份:當前活動的路徑發生故障時,激活冗余備份鏈路,恢復網絡連通性。華為交換機默認是開啟mstp,但是沒有配置。 一次在機房解決交換機問題的時候,發

[精]--這,讓你徹底明白Java的值傳遞引用傳遞!

本文旨在用最通俗的語言講述最枯燥的基本知識 學過Java基礎的人都知道:值傳遞和引用傳遞是初次接觸Java時的一個難點,有時候記得了語法卻記不得怎麼實際運用,有時候會的了運用卻解釋不出原理,而且坊間討論的話題又是充滿爭議:有的論壇帖子說Java只有值傳遞,有的部落格說兩者皆有;這讓人有點摸不著頭

Docker學習(八):flannel網路

Docker跨主機訪問 flannel 安裝配置etcd       先在主機10.211.55.17上建立並編寫指令碼a.sh sudo vim a.sh ETCD_VER=v2.3.7 DOWNLOAD_URL=https://github.com/coreos

計算機網路知識總結計算機網路協議()

計算機網路知識總結一計算機網路和協議(一) 網際網路概述 網際網路組成 計算機網路的效能指標 OSI參考模型以及TCP/IP四層模型、五層協議 通訊過程、資料傳輸、網路裝置 小結 網際網路概述 計算機網路: 由若干節點

遍歷順序表同時找到最大值最小值

#include <stdio.h> /* 題目:天勤40頁思考題(3) 在一個有n個整數的順序表L中,以不多於3n/2的平均比較次數,找出最大值和最小值 即 通過一次遍歷順序表找出順序表的最大值和最小值,平均比較次數=n<3n/2 */ #define maxlen 50 #

docker入門實戰(理論+實踐)系列---docker網路配置資料卷管理

docker可以存在自身的網路配置和資料卷管理方式,首先docker容器作為一個獨立的執行單元,可以有獨立的IP地址、埠等資訊。同時,nginx是無狀態的,當docker重啟之後,容器會恢復到初始化映象狀態(即docker是無狀態的),資料卷的存在實現了宿主機和docker容器之間的資料共享,本篇文章以n

Python Socket網路程式設計()初識SocketSocket初步使用

目錄 前言 網路程式設計 實質 IP地址和埠 資料傳輸協議 協議 Socket

記錄 .Net 框架 Bug 發現提交過程:SmtpClient處程式碼編寫錯誤導致非同步傳送郵件時DeliveryFormat配置項無法正確工作

問題已經發到了開發者社群 developercommunity.visualstudio.com/content/pro… 涉及到的Github倉庫: github.com/xiangyuecn/… .Net開發者社群富文字編輯器太難用了,還是簡書的編輯器好用,然後掘金的版面好看,最後還是喜歡cnb

福利!NodeJs爬取網路教程並生成PDF檔案,以阮峰JavaScript教程ES6教程為例(附原始碼PDF檔案)

前言 你想一夜暴富嗎?你想一夜成名嗎?你想開蘭博基尼泡妞嗎?你想拿鈔票點菸嗎?你想成為世界主宰嗎?那麼,趕緊往下看吧,雖然它不能達成前面所說的任 何一個夢想,但是,你將獲得: 通過命令列將某網站的內容轉成PDF檔案 通過NodeJS爬蟲將某網路教程(例如阮一峰的JavaScript教程和ES6教

卷積神經網路CNN的前向後向傳播(

卷積神經網路CNN的前向和後向傳播 卷積運算與相關的區別 卷積運算的正向和反向傳播 原文 Forward And Backpropagation in Convolutional Neural Network地址: https://medium.

從零開始構建一個Reactor模式的網路庫() 執行緒同步MutexCondition

最近在學習陳碩大神的muduo庫,感覺寫的很專業,以及有一些比較“高階”的技巧和設計方式,自己寫會比較困難。 於是打算自己寫一個簡化版本的Reactor模式網路庫,就取名叫mini吧,同樣只基於Linux平臺,不使用boost庫,去掉一些比較複雜的部分,只實現比較基本的功能。 寫作的過程中,參考了http

TCP三握手揮手過程原理及擴充套件(

先上圖:  三次握手過程狀態:          LISTEN:表示伺服器端的某個SOCKET處於監聽狀態,可以接受連線了。         SYN_SENT:當客戶端SOCKET執行CONNECT連線時,它首先發送SYN報文,因此也隨即它會進入SYN_SENT狀態

[Python]網路爬蟲():抓取網頁的含義URL基本構成

一、網路爬蟲的定義 網路爬蟲,即Web Spider,是一個很形象的名字。 把網際網路比喻成一個蜘蛛網,那麼Spider就是在網上爬來爬去的蜘蛛。 網路蜘蛛是通過網頁的連結地址來尋找網頁的。 從網站某一個頁面(通常是首頁)開始,讀取網頁的內容,找到在網頁中的其它連結地址

網路】TCP三握手建立連線揮手釋放連結

TCP協議 TCP報文格式 TCP建立連線的過程   (1)Client將標誌位SYN置為1,隨機產生一個值seq=J,並將該資料包傳送給Server,Client進入SYN_SENT狀態,等待Se

Docker 學習筆記():Docker 基本命令 用 Dockerfile build 一個 JDK 映象

本文件為學習筆記,部分內容將持續更新。 注:本人信仰用最簡單的方式去做一些事,怎麼簡單怎麼來,也許不求甚解。 Docker 基本命令 docker version 獲取 docke

生成對抗網路GAN() 簡介變種

基本概念[1] 目標函式 零和遊戲(zero-sum game) 納什均衡 minimax演算法 GAN借鑑了零和遊戲的思想,引入生成網路和辨別網路,讓兩個網路互相博弈,當辨別網路不能辨別資料來自於真實分佈還是生成網路的時候,此時的生成網路可以

網路通訊的三握手分手詳解

三次握手 TCP是主機對主機層的傳輸控制協議,提供可靠的連線服務,採用三次握手確認建立一個連線: 位碼即tcp標誌位,有6種標示:SYN(synchronous建立聯機) ACK(acknowledgement 確認) PSH(push傳送) FIN(f