Kubernetes node的防火墙问题导致pod ip无法访问-阿里云开发者社区

Kubernetes node的防火墙问题导致pod ip无法访问

2017-07-06 4923

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 RDS MySQL，集群系列 2核4GB

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

容器服务 Serverless 版 ACK Serverless，317元额度多规格

简介： 环境: 1.在hadoop36机器，ping hadoop38机器的pod的ip，为172.30.1.4 2.该pod的service的external-ip的ip为hadoop36的ip3.

环境:
1.在hadoop36机器，ping hadoop38机器的pod的ip，为172.30.1.4
2.该pod的service的external-ip的ip为hadoop36的ip
3.下面机器的ip，已经使用 xx.xx.xx.来替代和加图层覆盖掉

问题: 无法通过服务EXTERNAL-IP+port,访问对应的pod的服务，说白了，就是无法访问pod ip+port,无法ping通172.30.1.4

步骤:
1.先把服务停掉
[root@hadoop38 ~]# systemctl stop etcd flanneld docker kubelet kube-proxy

2.查看当前规则，然后清空
[root@hadoop38 ~]# iptables -L -n

[root@hadoop38 ~]# iptables -F && iptables -X && iptables -F -t nat && iptables -X -t nat
[root@hadoop38 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@hadoop38 ~]#

3.重启iptables 和开启服务
[root@hadoop38 ~]# systemctl restart iptables
[root@hadoop38 ~]# systemctl start etcd flanneld docker kubelet kube-proxy

4.再次查看防火墙策略和清空掉
[root@hadoop38 ~]# iptables -L -n
[root@hadoop38 ~]# iptables -F && iptables -X && iptables -F -t nat && iptables -X -t nat

5.等待一会最终查看防火墙策略
[root@hadoop38 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
KUBE-FIREWALL all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
KUBE-FIREWALL all -- 0.0.0.0/0 0.0.0.0/0
KUBE-SERVICES all -- 0.0.0.0/0 0.0.0.0/0 /* kubernetes service portals */

Chain KUBE-FIREWALL (2 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 /* kubernetes firewall for dropping marked packets */ mark match 0x8000/0x8000

Chain KUBE-SERVICES (1 references)
target prot opt source destination
[root@hadoop38 ~]# destination

6.在36机器验证ping 和 telnet检验
[root@hadoop36 dns]# kubectl get all -n cdh -o wide
NAME READY STATUS RESTARTS AGE IP NODE
po/mysql-master-64k8r 1/1 Running 5 1h 172.30.1.4 xx.xx.xx.38

NAME DESIRED CURRENT READY AGE CONTAINER(S) IMAGE(S) SELECTOR
rc/mysql-master 1 1 1 1h master hadoop35.jiuye/k8sregister/jiuye/mysql5.6-master:v1.6 name=mysql-master

NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR
svc/mysql-master 10.254.56.245 xx.xx.xx.36 13307/TCP 1h name=mysql-master
[root@hadoop36 dns]#

[root@hadoop36 dns]# ping 172.30.1.4
PING 172.30.1.4 (172.30.1.4) 56(84) bytes of data.
64 bytes from 172.30.1.4: icmp_seq=1 ttl=63 time=0.388 ms
^Z
[31]+ Stopped ping 172.30.1.4

[root@hadoop36 dns]# telnet   xx.xx.xx.36 13307
Trying xx.xx.xx..36...
Connected to xx.xx.xx..36.
Escape character is '^]'

备注:
1.这种情况发生过两次(都是因为vm机器重启)，特此记录一下步骤，备查。

Kubernetes node的防火墙问题导致pod ip无法访问

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

Kubernetes node的防火墙问题导致pod ip无法访问

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像