2. 程式人生 > >k8s實踐4:kube-proxy問題iptables轉發規則不顯示

k8s實踐4:kube-proxy問題iptables轉發規則不顯示

阿新 發佈:2019-03-12
int gre routing bili 配置 loop rpo ati rop

1.
今天想看看kube-proxy的iptables轉發規則,執行命令iptables-save,見下:

[root@k8s-master1 test]# iptables-save |grep "^-A KUBE"
-A KUBE-FIREWALL -m comment --comment "kubernetes firewall for dropping marked packets" -m mark --mark 0x8000/0x8000 -j DROP
-A KUBE-FORWARD -m comment --comment "kubernetes forwarding rules" -m mark --mark 0x4000/0x4000 -j ACCEPT
-A KUBE-FORWARD -s 172.30.0.0/16 -m comment --comment "kubernetes forwarding conntrack pod source rule" -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A KUBE-FORWARD -d 172.30.0.0/16 -m comment --comment "kubernetes forwarding conntrack pod destination rule" -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A KUBE-FIREWALL -j KUBE-MARK-DROP
-A KUBE-LOAD-BALANCER -j KUBE-MARK-MASQ
-A KUBE-MARK-DROP -j MARK --set-xmark 0x8000/0x8000
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
-A KUBE-NODE-PORT -p tcp -m comment --comment "Kubernetes nodeport TCP port for masquerade purpose" -m set --match-set KUBE-NODE-PORT-TCP dst -j KUBE-MARK-MASQ
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE
-A KUBE-POSTROUTING -m comment --comment "Kubernetes endpoints dst ip:port, source ip for solving hairpin purpose" -m set --match-set KUBE-LOOP-BACK dst,dst,src -j MASQUERADE
-A KUBE-SERVICES ! -s 172.30.0.0/16 -m comment --comment "Kubernetes service cluster ip + port for masquerade purpose" -m set --match-set KUBE-CLUSTER-IP dst,dst -j KUBE-MARK-MASQ
-A KUBE-SERVICES -m addrtype --dst-type LOCAL -j KUBE-NODE-PORT
-A KUBE-SERVICES -m set --match-set KUBE-CLUSTER-IP dst,dst -j ACCEPT

發現,根本看不到詳細的svc的和pod的iptables轉發規則.
為什麽看不到呢?以前kubeadm部署是可以看到的.

2.
查資料做對比.
發現kubeadm部署使用kube-proxy的ipatbles模式
現在手動部署的集群使用的是kube-proxy的ipvs模式

可以通過檢查配置文件,檢索模式?

[root@k8s-master2 ~]# cat /etc/kubernetes/kube-proxy.config.yaml

apiVersion: kubeproxy.config.k8s.io/v1alpha1
bindAddress: 192.168.32.129
clientConnection:
? kubeconfig: /etc/kubernetes/kube-proxy.kubeconfig
clusterCIDR: 172.30.0.0/16
healthzBindAddress: 192.168.32.129:10256
hostnameOverride: k8s-master2
kind: KubeProxyConfiguration
metricsBindAddress: 192.168.32.129:10249
mode: "ipvs"

把ipvs模式改成iptables,重啟kube-proxy.
執行命令iptables-save命令,見下:

[root@k8s-master2 ~]# iptables-save |grep "^-A KUBE-SVC"
-A KUBE-SVC-ERIFXISQEP7F7OF4 -j KUBE-SEP-GU5WDSRFVPTYJ5QU
-A KUBE-SVC-NPX46M4PTMTKRN6Y -m statistic --mode random --probability 0.33332999982 -j KUBE-SEP-TZ3VXNY2EEVCTOTN
-A KUBE-SVC-NPX46M4PTMTKRN6Y -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-BU2YJ53RTO4VMWUK
-A KUBE-SVC-NPX46M4PTMTKRN6Y -j KUBE-SEP-NOTEWJDBBN5H3PPR
-A KUBE-SVC-R2VK7O5AFVLRAXSH -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-55H4YX2333AS44RT
-A KUBE-SVC-R2VK7O5AFVLRAXSH -j KUBE-SEP-YZEC6Y7BVIHLFR3L
-A KUBE-SVC-RL3JAE4GN7VOGDGP -m statistic --mode random --probability 0.20000000019 -j KUBE-SEP-VB7GMOVJXYUHR5XB
-A KUBE-SVC-RL3JAE4GN7VOGDGP -m statistic --mode random --probability 0.25000000000 -j KUBE-SEP-SOERVJR7HCE5UQCC
-A KUBE-SVC-RL3JAE4GN7VOGDGP -m statistic --mode random --probability 0.33332999982 -j KUBE-SEP-2EMOF3UUDCCOTQCO
-A KUBE-SVC-RL3JAE4GN7VOGDGP -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-ZMLJTAH443KZVOBZ
-A KUBE-SVC-RL3JAE4GN7VOGDGP -j KUBE-SEP-OTUMA5HXXG654BGO
-A KUBE-SVC-TCOU7JCQXEZGVUNU -j KUBE-SEP-4H6QT2QBUKHBI7U2
-A KUBE-SVC-VPEW22VBKQ5JUV7N -m statistic --mode random --probability 0.25000000000 -j KUBE-SEP-6ZCL2K4RTLLEWKG3
-A KUBE-SVC-VPEW22VBKQ5JUV7N -m statistic --mode random --probability 0.33332999982 -j KUBE-SEP-HBKM2LVSQ4YLR7GU
-A KUBE-SVC-VPEW22VBKQ5JUV7N -m statistic --mode random --probability 0.50000000000 -j KUBE-SEP-NGAS2WWEJXLUMON5
-A KUBE-SVC-VPEW22VBKQ5JUV7N -j KUBE-SEP-ZEKL4SKLF2DTYX5K
[root@k8s-master2 ~]# 
 
[root@k8s-master2 ~]# iptables-save |grep "^-A KUBE-SEP"
-A KUBE-SEP-2EMOF3UUDCCOTQCO -s 172.30.78.2/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-2EMOF3UUDCCOTQCO -p tcp -m tcp -j DNAT --to-destination 172.30.78.2:80
-A KUBE-SEP-4H6QT2QBUKHBI7U2 -s 172.30.60.4/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-4H6QT2QBUKHBI7U2 -p udp -m udp -j DNAT --to-destination 172.30.60.4:53
-A KUBE-SEP-55H4YX2333AS44RT -s 172.30.60.5/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-55H4YX2333AS44RT -p tcp -m tcp -j DNAT --to-destination 172.30.60.5:80
-A KUBE-SEP-6ZCL2K4RTLLEWKG3 -s 172.30.60.2/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-6ZCL2K4RTLLEWKG3 -p tcp -m tcp -j DNAT --to-destination 172.30.60.2:80
-A KUBE-SEP-BU2YJ53RTO4VMWUK -s 192.168.32.129/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-BU2YJ53RTO4VMWUK -p tcp -m tcp -j DNAT --to-destination 192.168.32.129:6443
-A KUBE-SEP-GU5WDSRFVPTYJ5QU -s 172.30.60.4/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-GU5WDSRFVPTYJ5QU -p tcp -m tcp -j DNAT --to-destination 172.30.60.4:53
-A KUBE-SEP-HBKM2LVSQ4YLR7GU -s 172.30.7.2/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-HBKM2LVSQ4YLR7GU -p tcp -m tcp -j DNAT --to-destination 172.30.7.2:80
-A KUBE-SEP-NGAS2WWEJXLUMON5 -s 172.30.78.3/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-NGAS2WWEJXLUMON5 -p tcp -m tcp -j DNAT --to-destination 172.30.78.3:80
-A KUBE-SEP-NOTEWJDBBN5H3PPR -s 192.168.32.130/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-NOTEWJDBBN5H3PPR -p tcp -m tcp -j DNAT --to-destination 192.168.32.130:6443
-A KUBE-SEP-OTUMA5HXXG654BGO -s 172.30.80.3/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-OTUMA5HXXG654BGO -p tcp -m tcp -j DNAT --to-destination 172.30.80.3:80
-A KUBE-SEP-SOERVJR7HCE5UQCC -s 172.30.7.3/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-SOERVJR7HCE5UQCC -p tcp -m tcp -j DNAT --to-destination 172.30.7.3:80
-A KUBE-SEP-TZ3VXNY2EEVCTOTN -s 192.168.32.128/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-TZ3VXNY2EEVCTOTN -p tcp -m tcp -j DNAT --to-destination 192.168.32.128:6443
-A KUBE-SEP-VB7GMOVJXYUHR5XB -s 172.30.60.3/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-VB7GMOVJXYUHR5XB -p tcp -m tcp -j DNAT --to-destination 172.30.60.3:80
-A KUBE-SEP-YZEC6Y7BVIHLFR3L -s 172.30.78.4/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-YZEC6Y7BVIHLFR3L -p tcp -m tcp -j DNAT --to-destination 172.30.78.4:80
-A KUBE-SEP-ZEKL4SKLF2DTYX5K -s 172.30.80.4/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-ZEKL4SKLF2DTYX5K -p tcp -m tcp -j DNAT --to-destination 172.30.80.4:80
-A KUBE-SEP-ZMLJTAH443KZVOBZ -s 172.30.80.2/32 -j KUBE-MARK-MASQ
-A KUBE-SEP-ZMLJTAH443KZVOBZ -p tcp -m tcp -j DNAT --to-destination 172.30.80.2:80
[root@k8s-master2 ~]#

可以看到改回iptables模式之後,所有的轉發規則全部顯示出來了.

3.
ipvs模式比iptables模式強大,測試完後,記得改回ipvs模式.

k8s實踐4:kube-proxy問題iptables轉發規則不顯示

相關推薦

k8s實踐4:kube-proxy問題iptables轉發規則顯示

int gre routing bili 配置 loop rpo ati rop 1.今天想看看kube-proxy的iptables轉發規則,執行命令iptables-save,見下: [root@k8s-master1 test]# iptables-save |gre

React實踐:自定義html特性顯示

clean 框架 user use scenarios () each 後來 方法 發現React中自定義的html特性在render後是不現實,而且getAttribute方法也只能獲取到undefined。 後來去stackoverflow提問,網友回答說: It de

部署k8s ssl集群實踐4:部署etcd集群

搭建 error 運行 gets nofile 指定 not chown names 參考文檔:https://github.com/opsnull/follow-me-install-kubernetes-cluster感謝作者的無私分享。集群環境已搭建成功跑起來。文章是

Git忽略規則及.gitignore規則生效的解決辦法

ber 刪除 archive border 無效 class num build index 在git中如果想忽略掉某個文件,不讓這個文件提交到版本庫中,可以使用修改根目錄中 .gitignore 文件的方法(如無,則需自己手工建立此文件)。這個文件每一行保存了一個匹配的規

轉:linux下shell顯示-bash-4.1#顯示路徑解決方法

所屬組 再次 修改 root 顯示 lin 解決 use .bashrc 幾個可能導致的原因: 1 用戶的家目錄所屬組被改為root,解決方法使用root執行cd /home/;chown username:username username 2 用戶的家目錄被修改,這個時

Ueditor1.4.3.3 富文本編輯器在圖片顯示問題

.json .config 顯示 nbsp http img 分享 java 報錯   最近在項目中碰倒一個需求,需要一個富文本來編輯一個一篇報告,於是乎百度了一下找到一個百度的 ueditor 富文本編輯器,由於幫助文檔相比而言比較容易看懂,所以就選用了這個,但是也遇到

docker實踐4

停止 info default ash enabled curl port c-s gin 我的docker學習筆記4-守護式容器 $docker run -i -t ubuntu /bin/bash $ctrl-p 或 ctrl-q # 轉到後臺 $docker

解決Everything1.4版本預覽時支持自定義後綴的問題

cnblogs 點擊 原因 con 目錄 不知道 window image arch 2017年6月Everything版本升級到了1.4.x 個人使用下來認為最主要的有以下幾點 添加預覽功能 搜索結果多選 點擊目錄列即打開文件所在目錄,點擊其他列則打開該文件

ansible實踐4- 管理配置文件

ini 重啟nginx etc div 軟件包 nbsp cal Owner 關於 生產環境中大多時候是需要管理配置文件的,安裝軟件包只是在初始化環境的時候用一下。下面我們來寫個管理nginx配置文件的playbook mkdir -p /etc/ansible/ng

Git忽略規則和.gitignore規則生效的解決辦法

note 生效 sub cached git 一行 server 自己 原來 Git忽略規則: 在git中如果想忽略掉某個文件,不讓這個文件提交到版本庫中,可以使用修改根目錄中 .gitignore 文件的方法(如果沒有這個文件,則需自己手工建立此文件)。這個文件每一行保存

CentOS 7.4 shell 顯示當前用戶和路徑的問題

export art 文件 自己 刪除 nbsp file centos .net 步驟如下: vim ~/.bash_profile (不用管.bash_profile這個文件有幾個,自己新建一個也是可以的) 在最後加上 export PS1=‘[\u@\h \

linux下shell顯示-bash-4.1#顯示路徑解決方法

area 不用 source 解決方法 cal pro sin key -bash-4.1 在linux shell中不顯示路徑了,顯示為-bash-4.1#用起來很不方便。 如何改為顯示路徑的shell呢? 步驟如下: vim ~/.bash_profi

2018-3-5 10周4次課 訪問日誌記錄靜態文件、訪問日誌切割、靜態元素過期時間

訪問日誌 靜態元素 11.22 訪問日誌不記錄靜態文件·網站大多元素為靜態文件,如圖片、css、js等,這些元素可以不用記錄原因:如果不去限制,那麽會消耗大量的磁盤空間和IO,而且這些文件無意義。編輯http-vhost配置文件:[root@localhost ~]# vim /usr/local/a

高德地圖采坑實踐之地圖顯示(已解決)

alt 顯示 ron tro tar img lan 切換 解法 使用vue做的SPA切換路由地圖第二次顯示不出來 參考: AMap.Map 情景1: 地圖容器為空 情景1: 實例化棧溢出 解法:mouted鉤子中實例化地圖(解決地圖容器為空的問題),destr

Hexo瞎折騰系列(4) - 站點首頁顯示文章全文

文件中 alc pda date 文件 你會 功能 數據 配置 文章摘要設置 打開主題配置文件 _config.yml 文件,找到如下: # Automatically Excerpt. Not recommend. # Please use <!-- more --

[ERROR ImagePull]: failed to pull image [k8s.gcr.io/kube-apiserver-amd64:v1.11.1]: exit status 1

occurred cidr .com src cal 4.0 schedule -a uber 問題描述 [root@localhost ~]# kubeadm init --kubernetes-version=v1.11.1 --pod-network-cidr=10.

.Net Core實踐4 web 反向代理

files 啟動 用戶目錄 ces user async microsoft config 通過 目標 將控制臺程序改成web程序,通過IIS反向代理,處理請求 環境 win10 / .net core 2.1 / centos7 變成web程序 1.在新建的as

linux 命令行顯示路徑了,而顯示為-bash-4.1#的兩種解決辦法

技術分享 用戶家目錄 清空 目錄 RoCE color 編輯 重新 我們 問題描述: linux的命令行界面顯示的不是路徑,而是-bash-4.1#: 原因分析: 出現這個問題的原因是因為沒有配置.bash_profile的問題,或者是我們不小心清空或刪除了.bash_pr

[lambda x: x*i for i in range(4)] 詳細解析+LEGB規則 閉包原理

轉自:http://www.cnblogs.com/shiqi17/p/9608195.html 一、問題描述 fun = [lambda x: x*i for i in range(4)] for item in fun: print(item(1)) 上述式子的

4.為什麼SqlSession會是安全的以及轉賬事務為什麼要放在持久層?

為什麼jdbc 的template必須從業務層一直傳到持久層?因為事務要在業務層。 怎麼提交事務?connnection的conmmit方法。 為什麼事務層要放在業務層控制?看下圖: 如果放在持久層的話,每一個connection完成之後,都會完成一個提交自己的c