有偿求解！ K8S 环境下外部无法访问服务的问题

k8s node 是公有云的主机？

@retanoj 电信云的主机，深信服管理。我想 VPN 登录以后可以访问到 nacos 的页面。kuboard 访问正常，其他一些服务也正常，就是 nacos 访问不到。

是不是 service 没有配置 externalips 或者 hostname

抓包吧还是

先看是 reset 还是 timeout ，timeout 大概率防火墙、iptables 没开； reset 只能细看了

建议给一下具体 IP 地址
比如容器 IP 是多少，宿主机 IP 多少，连 VPN 后获得的 IP 是多少

@retanoj @FabricPath 容器 IP 是 10.100.33.254 ，宿主机是 192.168.0.2 ，vpn 后 IP 是 172.16.114.22 。通过 kuboard 代理也无法访问。

在集群节点内访问 nodePort 30066 ，是否成功？
节点的安全组有没有放开 30066 端口？

内网访节点访问 master 端口 30066 是否可以？如果不行就是 nodePort 设置的问题
VPN 到 master 节点网络是否能通？路由策略是否开启？

我提一个，电信云的安全组开了吗？

@xzysaber 集群内访问也不成功。开放了 30066 端口, kube-proxy 监听

@ff1m80
iptables -tnat -nvL |grep 30066
你可以在集群内访问 30066 时看下对应的规则的第一列匹配的包数量有没有增加。

mtu

抓包排查啊，先确定哪个环节丢的包
1 、网卡抓包，看看进来没有
2 、容器接口抓包，看看 iptables DNAT 规则生效没有
3 、同 2 ，查看服务有没有回包


1 出问题排查云的防火墙
2 出问题，依次排查 iptables 的规则 命中等等，看看有没有干扰规则提前命中了，用 iptables -t nat -nvL 一点点排查命中数。
3 如果容器有回包，但是出不去，排查路由可能是回包路由出不去，是不是全局路由网段冲突，172.16 这个和 Docker 默认的网段已经很相近了。

从描述看其实不能确定 service 是正确配置的

kubectl get endpoints <service-name> 看下有没有预期的后端？
另外也可以试下在节点上 curl <service-ip>:<service-port> 看下服务是否正常

从别的 node 节点访问 30066 端口正常吗？

好奇楼主排查进度如何