问一个奇怪的 K8S 集群网络问题

wd

2020-07-05 12:00:11 +08:00

少一天物理机到 pod 路由吧

zhoudaiyu

2020-07-05 12:07:57 +08:00

@wd 物理机 A 的虚拟网卡有到物理机 B 物理网卡的路由，物理机 B 的物理网卡也有到虚拟机 B1 的路由

defunct9

2020-07-05 12:28:08 +08:00

开 ssh，让我上去看看

zhoudaiyu

2020-07-05 12:29:09 +08:00

@defunct9 你远程我吧狗头

defunct9

2020-07-05 12:36:53 +08:00

@zhoudaiyu pod 主动出去没问题，pod 的大广场也没问题。进来有问题，还有路由，不好猜

ujued

2020-07-05 12:44:31 +08:00

未知网络对 192.168.2.0/24 和 192.168.3.0/24 段的 IP 没有路由配置，或未路由到图中的交换机

ujued

2020-07-05 12:47:33 +08:00

A 机器上 traceroute 192.168.2.1 就能看个大概吧

zhoudaiyu

2020-07-05 12:55:52 +08:00

@ujued #7 traceroute 全是 *

zhoudaiyu

2020-07-05 12:57:02 +08:00

@ujued #6 我觉得路由器应该不用配两个 192.168 网段的路由，因为 tunl 网卡会把发出去的包外面再套一个从物理网卡 A 到物理网卡 B 的包头

ujued

2020-07-05 13:09:43 +08:00

tun 只是虚拟个网卡。又没做 NAT，虚拟网卡发出的包交给协议栈，怎会改 source ip 为物理机了呢？

就算 A 网卡给 tun 网卡数据包做了 NAT，又怎知道给 192.168.2.0/24 的包发给物理网卡 B 就可以呢？

ujued

2020-07-05 13:12:26 +08:00

traceroute 都是*那可能防火墙封了 ICMP 报文，那 ping 不同正常！

zhoudaiyu

2020-07-05 13:18:07 +08:00

@ujued 但是物理机之间 ping 是没问题的，做了 NAT 啊，要不哪来的 192.168.x.x 的容器 IP 呢

ujued

2020-07-05 13:25:12 +08:00

物理机能 ping，可能是放开了那些网段的 ICMP 包限制。

你看看 traceroute 10.237.79.44 的路径，然后到各个路由器添加相关路由。

防火墙放开 192.168.0.0/16 的 ICMP 报文

大概是这样。

wangyzj

2020-07-05 13:42:23 +08:00

检查路由

或者清空 iptables
然后重新装一下 kube proxy

ujued

2020-07-05 13:42:43 +08:00

哦，对了，traceroute 10.237.79.44 应该也还是*，因为与目标机器间的设备不响应 ICMP 。

不过问题还是这个问题，缺少正确的路由，你的 A 机器发给 192.168.2.0/24 的数据包路由不到图中的交换机。

zhoudaiyu

2020-07-05 14:24:06 +08:00

@wangyzj 你是说本机的 ip route 吧？我试试重新生成 iptabels

zhoudaiyu

2020-07-05 14:32:13 +08:00

@ujued #15 我也怀疑路由最开始，但那为什么反过来从虚拟机 B1 到物理机 A 是没问题的呢

twl007

2020-07-05 14:37:15 +08:00

重启一下 kube-proxy 看看不知道你用的是 iptables 模式还是 ipvs 模式不论用那个的话都建议手动查看一下生成的列表对不对另外检查一下 kube-proxy 的日志看看有没有什么异常报错

zhoudaiyu

2020-07-05 14:38:31 +08:00

@twl007 好的我试试我们用的 iptabels 模式

twl007

2020-07-05 14:43:38 +08:00

@zhoudaiyu 那估计问题原因跟我们不太一样我们是 ipvs 建议还是手动追查一下规则看看 iptablea 规则是不是最新的然后再去查路由如果路由器配置 ACL 的确是会拦住 IPIP 的