Tham gia Đăng nhập
Điểm:0
avatar Server

Không thể truy cập nhóm từ nhóm trong một số máy nhưng đã đạt đến đường hầm trong nút

lá cờ ma
Christian Alis

Tôi có một nhóm có IP cụm là 10.233.70.35 trong cụm Kubernetes 1.19 kim loại trần với Calico 3.16.9 là CNI. Hãy gọi đây là nhóm A. Trong hầu hết các nút (khác với nút của nhóm A), một nhóm (Khoang B) trong cùng một không gian tên Kubernetes có thể truy cập nhóm A như được hiển thị trong pcap trên nút nơi nhóm A dưới đây:

# tcpdump -vv -i calib33bd7211a6|grep 10.233.109.62
tcpdump: nghe trên calib33bd7211a6, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
    10.233.109.62.60372 > 10.233.70.35.tproxy: Flags [S], cksum 0x16af (đúng), seq 2138999970, win 64240, tùy chọn [mss 1460,sackOK,TS val 2089146656 ecr 0,nop,wscale 7], độ dài 0
    10.233.70.35.tproxy > 10.233.109.62.60372: Flags [S.], cksum 0xc961 (sai -> 0x579e), seq 3985188010, ack 2138999971, win 65160, tùy chọn [mss 1460,sackOK,TS 9066615nop4 ,wscale 7], chiều dài 0
    10.233.109.62.60372 > 10.233.70.35.tproxy: Flags [.], cksum 0x82fd (đúng), seq 1, ack 1, win 502, tùy chọn [nop,nop,TS val 2089146656 ecr 4061902615], độ dài 0
# tcpdump -vv -i tunl0|grep 10.233.109.62
tcpdump: nghe trên tunl0, RAW kiểu liên kết (IP thô), kích thước chụp 262144 byte
    10.233.109.62.34294 > 10.233.70.35.tproxy: Flags [S], cksum 0xbd5b (đúng), seq 1964000002, win 64240, tùy chọn [mss 1460,sackOK,TS val 1018637359 ecr 0,nop,wscale 7], độ dài 0
    10.233.70.35.tproxy > 10.233.109.62.34294: Flags [S.], cksum 0xc961 (sai -> 0x7b0b), seq 1667300057, ack 1964000003, win 65160, tùy chọn [mss 1460,sackOK,TS 38 val 24061,9op 378,9op ,wscale 7], chiều dài 0
    10.233.109.62.34294 > 10.233.70.35.tproxy: Flags [.], cksum 0xa66a (đúng), seq 1, ack 1, win 502, tùy chọn [nop,nop,TS val 1018637359 ecr 4061982287], độ dài 0
    10.233.109.62.34294 > 10.233.70.35.tproxy: Flags [F.], cksum 0x592f (đúng), seq 1, ack 1, win 502, tùy chọn [nop,nop,TS val 1018657129 ecr 4061982287], độ dài 0
    10.233.70.35.tproxy > 10.233.109.62.34294: Cờ [F.], cksum 0xc959 (không chính xác -> 0x0bec), seq 1, ack 2, win 510, tùy chọn [nop,nop,TS val 4062002057 ecr 1018657129], độ dài 0
    10.233.109.62.34294 > 10.233.70.35.tproxy: Flags [.], cksum 0x0bf3 (đúng), seq 2, ack 2, win 502, tùy chọn [nop,nop,TS val 1018657130 ecr 4062002057], độ dài 0

Tuy nhiên, trong một số máy (lại khác với nút của nhóm A), một nhóm (Khoang C) trong cùng một không gian tên k8s không thể truy cập nhóm A mặc dù nó có thể đến được đường hầm của nhóm Anút của như hình dưới đây:

# tcpdump -vv -i calib33bd7211a6|grep 10.233.82.51
tcpdump: nghe trên calib33bd7211a6, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
# tcpdump -vv -i tunl0|grep 10.233.82.51
tcpdump: nghe trên tunl0, RAW kiểu liên kết (IP thô), kích thước chụp 262144 byte
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0xc924 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899329055 ecr 0,nop,wscale 7], độ dài 0
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0xc529 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899330074 ecr 0,nop,wscale 7], độ dài 0
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0xbd49 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899332090 ecr 0,nop,wscale 7], độ dài 0
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0xacc9 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899336314 ecr 0,nop,wscale 7], độ dài 0
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0x8cc9 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899344506 ecr 0,nop,wscale 7], độ dài 0
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0x4dc9 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899360634 ecr 0,nop,wscale 7], độ dài 0
    10.233.82.51.35038 > 10.233.70.35.tproxy: Flags [S], cksum 0xc9c8 (đúng), seq 2532090843, win 64240, tùy chọn [mss 1460,sackOK,TS val 3899394426 ecr 0,nop,wscale 7], độ dài 0

Tôi có thể làm gì để khắc phục điều này sao cho nhóm A có thể truy cập được bởi bất kỳ nhóm nào trong bất kỳ nút nào không?

Tất cả các nút nằm trong cùng một mạng con nhưng trải rộng trên hai công tắc L2. Tuy nhiên, sự cố này dường như xảy ra đối với một số nút trong một trong các công tắc vì nhóm AMáy của ông đã đến được đường hầm, nhận xét này không liên quan.

75
0 + 2
Wytrzymały Wiktor avatar
lá cờ it
Wytrzymały Wiktor
Xin chào @ChristianAlis. Bạn có thể vui lòng cung cấp thêm thông tin về thiết lập Calico của mình không? Bạn đã cấu hình chế độ Mạng nào? Cách cài đặt và vận hành? Đâu là điểm khác biệt duy nhất trong thiết lập (các) nút, vì giao tiếp khối lượng công việc không thành công?
0
Hồi đáp
lá cờ ma
Christian Alis
@WytrzymaÅyWiktor Tôi đã sử dụng kubespray và các giá trị mặc định riêng của nó. Hiện tại, mọi thứ đều có trên kubespray 2.15.1. Các nút trong lần chuyển đổi đầu tiên, tất cả chúng đều không gặp sự cố này, đã được thiết lập trở lại vào năm 2018 và đã trải qua những thay đổi lớn trong kubespray, ví dụ: chuyển sang kubeadm và calico từ flannel. Các nút trong công tắc khác, một nửa trên có vấn đề này, đã được thiết lập vào tháng 11 năm 2020 vừa qua. Tôi đang sử dụng ipip và không có sự khác biệt duy nhất nào trong thiết lập nút mà tôi tìm thấy.
0
Hồi đáp
Mikołaj Głodziak avatar
lá cờ id
Mikołaj Głodziak
Là vấn đề của bạn vẫn chưa được giải quyết? Chính xác thì bạn đã thiết lập cụm của mình như thế nào? Bạn có thấy [trang này](https://github.com/projectcalico/calico/issues/2426) không?
0
Hồi đáp
lá cờ ma
Christian Alis
Một phần. Sự cố trong thiết lập cụ thể mà tôi dựa trên câu hỏi này là do netpol được tạo tự động yêu cầu một thẻ cụ thể để kết nối. Tuy nhiên, vấn đề của một số nhóm từ một số nút không thể kết nối vẫn còn mở. Tôi đã tạo một bài đăng mới để mô tả rõ hơn về nó: https://serverfault.com/questions/1078384/getaddrinfo-does-not-resolve-in-some-kubernetes-pod-on-some-hosts
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.