kubernets nodeport 無法訪問

原創 discsthnew 2018-08-24 23:46

Environment

Os: centos7.1
Kubelet: 1.6.7
Docker: 17.06-ce
Calico: 2.3

K8s Cluster: master, node-1, node-2

Problem

現有 service A, 爲了能使外部訪問,故將 service type 設爲NodePort。端口爲 31246
A 所對應的 pod 運行在 node-1 上。

經過測試發現,外部訪問 master:31246node-2:31246 時均出現失敗,只有通過 node-1:31246 纔可正常訪問。

Reason

爲了安全起見, docker 在 1.13 版本之後,將系統iptables 中 FORWARD 鏈的默認策略設置爲 DROP,併爲連接到 docker0 網橋的容器添加了放行規則。這裏引用 moby issue#14041 中的描述:

When docker starts, it enables net.ipv4.ip_forward without changing the iptables FORWARD chain default policy to DROP. This means that another machine on the same network as the docker host can add a route to their routing table, and directly address any containers running on that docker host.

For example, if the docker0 subnet is 172.17.0.0/16 (the default subnet), and the docker host’s IP address is 192.168.0.10, from another host on the network run:

   $ ip route add 172.17.0.0/16 via 192.168.0.10
$ nmap 172.17.0.0/16

The above will scan for containers running on the host, and report IP addresses & running services found.

To fix this, docker needs to set the FORWARD policy to DROP when it enables the net.ipv4.ip_forward sysctl parameter.

kubernetes 使用的 cni 插件會因此受影響(cni並不會在 FORWARD 鏈中生成相應規則),由此導致除 pod 所在 host 以外節點無法轉發報文而訪問失敗。

Solution

如果對安全要求較低,可將 FORWARD 鏈的默認規則設爲 ACCEPT

iptables -P FORWARD ACCEPT

其它方法可參考:

kubernetes issues#40182

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

kubernetes收集Pod日誌

k8s日誌收集方案 三種方案優缺點對比 方式 優點 缺點 方案一:Node上部署一個日誌收集程序 每個Node僅需部署一個日誌收集程序消耗資源少,對應用無侵入 應用程序日誌需要寫到標準輸出和標準錯誤輸出,不支持

L.Sir 2020-07-08 03:13:58

基於Kubernetes和Springboot構建微服務

最近一直在研究基於Kubernetes和SpringBoot的微服務架構,在研究過程中,逐漸意識到,一個優秀的微服務架構在最大化地做到高內聚、松耦合的同時,也必須要求架構內的微服務基於一定的規範進行設計。符合這些規範的微服務,纔是是體系內

sinao139 2020-07-08 12:13:56

Rancher v2.4.3 阿里雲搭建實錄

文章目錄一、服務器二、環境初始化2.1 修改主機名2.2 關閉防火牆、Selinux2.3 安裝Docker-ce三、安裝rancher3.1 設置密碼3.2 設置 Server URL3.3 語言設置3.4 添加集羣四、安裝Ku

刘李404not found 2020-07-08 11:19:49

Kubernetes中的數據卷

文章目錄Volume1.1 emptyDir1.2 configMap1.3 hostPath1.4 local1.5 persistentVolumeClaim (PVC)1.6 projected Volume 容器中的文

刘李404not found 2020-07-08 11:19:49

Kubernetes PV與PVC

文章目錄一、PV和PVC二、PV和PVC的生命週期2.1 資源供應 (Provisioning)2.2 資源綁定 (Binding)2.3 資源使用 (Using)2.4 資源釋放 (Releasing)2.5 資源回收 (Rec

刘李404not found 2020-07-08 11:19:49

ConfigMap--kubernetes的“配置中心”

文章目錄一、簡介二、創建2.1 使用 kubectl 創建ConfigMap2.1.1 根據目錄創建2.1.2 根據文件創建2.1.3 根據文字值創建2.2 根據生成器創建三、使用3.1 定義容器的環境變量3.1.1 使用單個 C

刘李404not found 2020-07-08 11:19:49

利用 kubeadm 簡單搭建k8s(已更新爲V1.13.0版本)

1. 基本系統環境 1.1 系統內核 查看當前系統內核(我這裏是5.0.5-1.el7.elrepo.x86_64): uname -a 版本必須大於等於3.10,否則需要升級內核: # ELRepo 倉庫(可以先看一下 /et

jacksonary 2020-07-08 10:04:33

3.2 控制器——副本控制器(ReplicationController)

3.2 副本控制器(ReplicationController)  ReplicationController(在kubectl命令中經常縮寫爲rc或rcs)是實際確保特定數量的Pod副本在任意時刻的運行。如果Pod副本超過指定數

jacksonary 2020-07-08 10:04:33

3.5 控制器——DaemonSet(守護線程集)

3.5 控制器——DaemonSet(守護線程集)  每個DaemonSet可以確保某些甚至全部節點運行一個Pod的副本,當node加入集羣時,Pod就會加入這些節點,同樣的,當節點從集羣中移除時,這些pods被垃圾回收。刪除一個

jacksonary 2020-07-08 10:04:33

3.3 控制器——Deployments(部署)

3.3 Deployments(部署)  Deployments控制器(Deployment controller,Deployment應該也是控制器的一種吧)提供了Pod和ReplicaSets的聲明式更新。在Deploymen

jacksonary 2020-07-08 10:04:33

3.1 控制器——ReplicaSet

3. 控制器(Controller) 3.1 副本集(ReplicaSet) 定義:副本集(ReplicaSet)的目的是爲了保證一組穩定的Pod副本在任意給定時刻都在運行。因此,它通常用於保證特定數量的相同Pod的可用性。  副

jacksonary 2020-07-08 10:04:33

centos7搭建kubernetes v1.17.1集羣

機器 hostname 10.211.55.64 k8sMaster 10.211.55.65 k8sNode1 10.211.55.66 k8sNode2 所有機器執行以下操作 (1-13) 配置y

夜幕.思年华 2020-07-08 06:16:44

kubernetes -- 結點調度控制的幾種方式

簡介 調度器通過 kubernetes 的 watch 機制來發現集羣中新創建且尚未被調度到 Node上的 Pod。調度器會將發現的每一個未調度的 Pod 調度到一個合適的 Node 上來運行。 kube-scheduler 是

生命热力٩( 'ω' )و 2020-07-08 02:17:36

Pod和容器的生命週期管理

Pod由一組應用容器組成,其中包含共有的環境和資源約束。在 CRI裏,這個環境被稱爲PodSandbox。Kubernetes有意爲容器運行時留 下一些發揮空間,它們可以根據自己的內部實現來解釋PodSandbox。對 於Hypervis

qq_4278923 2020-07-07 23:16:19

Kubernetes(k8s)入門(一)——k8s基本概念

一、組件說明 谷歌borg架構圖:       主要由兩部分組成:BorgMaster和Borglet。BorgMaster負責請求和分發,我們可以理解爲大腦,真正做處理和工作的是Borglet。爲了防止BorgMaster由於

&欧阳羽君& 2020-07-07 21:24:07