gat_520 2023-11-27 13:05 采纳率: 0%

已结题

k8S 1.21部署calico使用bgp模式后不同节点之间的容器不能ping通

K8S使用calico设置成bgp模式默认使用mesh以后3台不同节点上的容器之间不能互通
v8: 192.168.0.108 (master)
v8-2: 192.168.0. 181 (node)
v8-3: 192.168.0.88 (node)
podIP: 10.244.0.0/16

操作环境、软件版本等信息

K8S版本1.21.2
calico版本v3.20.6 calico设置成bgp模式默认使用mesh ,calico.yaml已把ipip改为Never、CALICO_IPV4POOL_CIDR改成10.244.0.0/16,
v8: 192.168.0.108(master)
v8-2: 192.168.0.181(node)
v8-3: 192.168.0.88 (node)

尝试过的解决方法

1、 calico容器正常无日志报错
NAME READY STATUS RESTARTS AGE
calico-kube-controllers-594649bd75-dnc9x 1/1 Running 0 4d18h
calico-node-4j5rv 1/1 Running 0 4d18h
calico-node-6xrch 1/1 Running 0 4d18h
calico-node-rl5ld 1/1 Running 0 4d18h

2、三台 caliao node状态正常
[root@v8 ~]# ./calicoctl node status
Calico process is running.

IPv4 BGP status

+---------------+-------------------+-------+------------+-------------+
| PEER ADDRESS  |     PEER TYPE     | STATE |   SINCE    |    INFO     |
+---------------+-------------------+-------+------------+-------------+
| 192.168.0.181 | node-to-node mesh | up    | 2023-11-22 | Established |
| 192.168.0.88  | node-to-node mesh | up    | 2023-11-22 | Established |
+---------------+-------------------+-------+------------+-------------+

[root@v8-3 ~]# ./calicoctl node status
Calico process is running.

IPv4 BGP status

+---------------+-------------------+-------+------------+-------------+
| PEER ADDRESS  |     PEER TYPE     | STATE |   SINCE    |    INFO     |
+---------------+-------------------+-------+------------+-------------+
| 192.168.0.108 | node-to-node mesh | up    | 2023-11-22 | Established |
| 192.168.0.181 | node-to-node mesh | up    | 2023-11-22 | Established |
+---------------+-------------------+-------+------------+-------------+

[root@v8-3 ~]# ./calicoctl get ippool
NAME CIDR SELECTOR
default-ipv4-ippool 10.244.0.0/16 all()

3、容器与不同节点的宿主机能互ping通但容器与不同节点容器之间不通
容器ping 节点v8-3正常

root@v8 ~]# kubectl exec -it mix-6bffb65b57-6xg8s -- sh   
/opt/www # ping 192.168.0.181  
PING 192.168.0.181 (192.168.0.181): 56 data bytes
64 bytes from 192.168.0.88: seq=0 ttl=63 time=0.416 ms
64 bytes from 192.168.0.88: seq=1 ttl=63 time=0.331 ms

主机名v8-3,IP:192.168.0.88能ping 通主机名v8,IP :192.168.0.108里面容器

[root@v8-3 ~]# ping 10.244.157.2
PING 10.244.157.2 (10.244.157.2) 56(84) bytes of data.
64 bytes from 10.244.157.2: icmp_seq=1 ttl=63 time=115 ms
64 bytes from 10.244.157.2: icmp_seq=2 ttl=63 time=0.329 ms

主机:192.168.0.108 下的容器10.244.157.2 ping不通192.168.0.88下的容器10.244.100.142

/opt/www # ping 10.244.100.142
PING 10.244.100.142 (10.244.100.142): 56 data bytes

抓包过程
v8-192.168.0.108 容器10.244.157.2

/opt/www # tcpdump  host 10.244.100.142 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:50:56.505063 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 56832, seq 0, length 64
10:50:57.505344 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 56832, seq 1, length 64
10:50:58.505445 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 56832, seq 2, length 64
10:50:59.505552 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 56832, seq 3, length 64

192.168.0.108宿主机上抓包

[root@v8 ~]# tcpdump  -i eth0 icmp -nn 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:32:11.032797 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 60160, seq 15, length 64
12:32:12.032887 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 60160, seq 16, length 64
12:32:13.032961 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 60160, seq 17, length 64
12:32:14.033033 IP 10.244.157.2 > 10.244.100.142: ICMP echo request, id 60160, seq 18, length 64

在192.168.0.88主机上抓包
无数据，怀疑在192.168.0.108主机上就丢弃数据包了，但路由正常

[root@v8-3 ~]# tcpdump -i cali1279804247d  icmp -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on cali1279804247d, link-type EN10MB (Ethernet), capture size 262144 bytes

路由检查
v8----192.168.0.108

[root@v8 ~]# ip route
default via 192.168.0.1 dev eth0 proto dhcp metric 100 
10.244.100.128/26 via 192.168.0.88 dev eth0 proto bird 
10.244.125.64/26 via 192.168.0.181 dev eth0 proto bird 
10.244.157.0 dev cali2143a67a07d scope link 
blackhole 10.244.157.0/26 proto bird 
10.244.157.1 dev cali24e13e64f3c scope link 
**10.244.157.2 dev cali685dddd2f86 scope link 
**10.244.157.3 dev cali0cf0a0c076c scope link 
10.244.157.4 dev califf7284a32fd scope link 
10.244.157.5 dev cali8d6f231a39f scope link 
10.244.157.6 dev calif6a082606c1 scope link 
10.244.157.7 dev cali30f721aa2f7 scope link 
10.244.157.25 dev cali1e98019e276 scope link 
169.254.169.254 via 192.168.0.254 dev eth0 proto dhcp metric 100 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.108 metric 100

v8--3: 192.168.0.181

[root@v8-3 ~]# ip route
default via 192.168.0.1 dev eth0 proto dhcp metric 100 
10.244.100.128 dev calif60ce0e1724 scope link 
blackhole 10.244.100.128/26 proto bird 
10.244.100.140 dev cali5c1f6b32444 scope link 
10.244.100.141 dev cali4d2ccbb62f8 scope link 
**10.244.100.142 dev cali1279804247d scope link ******
10.244.125.64/26 via 192.168.0.181 dev eth0 proto bird 
10.244.157.0/26 via 192.168.0.108 dev eth0 proto bird 
169.254.169.254 via 192.168.0.254 dev eth0 proto dhcp metric 100 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
172.18.0.0/16 dev docker_gwbridge proto kernel scope link src 172.18.0.1 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.88 metric 100

iptables检查

Chain cali-from-wl-dispatch (2 references)
target     prot opt source               destination
cali-fw-cali0cf0a0c076c  all  --  anywhere             anywhere            [goto]  /* cali:SesY7QVHDLNyf-l5 */
cali-fw-cali1e98019e276  all  --  anywhere             anywhere            [goto]  /* cali:YmZZJGKyRFmsXxF7 */
cali-from-wl-dispatch-2  all  --  anywhere             anywhere            [goto]  /* cali:wxqMZ2dPO8emNDKO */
cali-fw-cali30f721aa2f7  all  --  anywhere             anywhere            [goto]  /* cali:-T0wqOCykO5m6Yct */
cali-fw-cali685dddd2f86  all  --  anywhere             anywhere            [goto]  /* cali:d4cCz8Rpr6UlGuOu */
cali-fw-cali8d6f231a39f  all  --  anywhere             anywhere            [goto]  /* cali:D4iaOuHHDK41VbhZ */
cali-from-wl-dispatch-f  all  --  anywhere             anywhere            [goto]  /* cali:KpxN190c58iIPStk */
DROP       all  --  anywhere             anywhere             /* cali:poEU4sSjI9Z7kQ9g */ /* Unknown interface */

Chain cali-tw-cali685dddd2f86 (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* cali:mFwx-gC7cxToJiwu */ ctstate RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere             /* cali:5FBCakypEHLffZgb */ ctstate INVALID
MARK       all  --  anywhere             anywhere             /* cali:7x7QkABWmz8I_4dp */ MARK and 0xfffeffff
cali-pri-kns.default  all  --  anywhere             anywhere             /* cali:g6ul_iyrHpW9x4rN */
RETURN     all  --  anywhere             anywhere             /* cali:nBzTthOv0fR1zK4W */ /* Return if profile accepted */ mark match 0x10000/0x10000
cali-pri-ksa.default.default  all  --  anywhere             anywhere             /* cali:lwAZNpSySXnIIZz_ */
RETURN     all  --  anywhere             anywhere             /* cali:Xkko9Jc5cvP3OgLu */ /* Return if profile accepted */ mark match 0x10000/0x10000
DROP       all  --  anywhere             anywhere             /* cali:W58NKbFYKBE4-BRq */ /* Drop if no profiles matched */

我想要达到的结果

3个不同节点下的容器能通信

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

报告相同问题？

关注问题

k8s删除deployment 报错 kubernetes
2023-04-19 16:52

回答 2 已采纳参考一下ChatGPT的建议和排查过程：确保您在正确的命名空间中删除deployment资源，您可以通过以下命令检查deployment所在的命名空间：kubectl get deployment
k8s最佳的网络方案是哪种？对网络损耗有多大？ kubernetes
2022-10-22 20:51

回答 1 已采纳最佳的意思其实是最适合的意思，各有优点，calico的扩展性比flannel要好，适用大型kubernetes集群（节点过百可视作大型），flannel适用敏捷型的kubernetes集群（节点小于1
从阿里云下载docker服务报错 centos 容器
2023-02-02 18:28

回答 2 已采纳错误消息“无法使用给定的 CA 证书对等证书进行身份验证”意味着客户端（在本例中为您的系统）不信任服务器提供的证书。如果服务器的证书已过期或证书链有问题，则可能会发生这种情况。要解决此问题，您可以尝
K8S Calico
2022-02-22 19:11

elihe2011的博客每个 vRouter 都通过 BGP 协议将本节点上运行容器的路由信息向整个 Calico 网络广播，并自动设置到达其他节点的路由转发规则。 Calico 保证所有容器之间的数据流量都通过 IP 路由的方式完成互联互通。Calico 节点...
如何合并相关数据 json
2019-03-13 21:01

回答 1 已采纳 If I understand properly what you want to do, here you have an unoptimized example, it's done with
k8s网络插件-calico
2021-04-13 06:32

塞北酒鬼的博客 (1)Felix：Calico的客户端，跑在每台node节点上，主要负责配置路由及ACLs等信息来确保各pod之间的连通状态 (2)etcd：分布式键值存储，主要负责网络元数据一致性，确保Calico网络状态的准确性； (3)BGPClient：主要...
企业项目实战k8s篇（六）k8s网络通信（flannel、calico）
2021-07-28 22:46

张一不二的博客 k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel，calico等。 CNI插件存放位置：# cat /etc/cni/net.d/10-flannel.conflist 插件使用的解决方案如下：虚拟网桥，虚拟网卡，多个容器共用一...
Pod网络、Service网络、网络插件Calico、网络插件Flannel（2024-07-12）
2024-07-14 19:23

Chauncey_Qin的博客 Flannel的设计目的就是为集群中的所有节点重新规划IP地址的使用规则，从而使得不同节点上Pod能够获得“同属一个内网”且”不重复的”IP地址，并让属于不同节点上的Pod能够直接通过内网IP通信。简单来说，它的功能是...
Kubernetes集群部署：k8s部署、pod管理、资源清单、控制器、Service
2021-02-04 12:29

qiao_qing的博客文章目录kubernetes部署1.master端部署2.node端部署 kubernetes部署 Kubernetes对计算资源进行了更高层次的抽象，通过将容器进行细致的组合，将最终的应用服务交给用户。官方网站：...
kubernetes——part3 命令
2024-08-03 10:50

渔阳镇节度使的博客集群中的管理操作几乎都可以使用kubectl命令完成。
Kuberneters企业级容器云平台落地实践之二
2022-10-13 16:19

wespten的博客 k8s-app: filebeat 每台主机都需要filebeat容器来日志，保存为daemonset.yml文件： --- apiVersion: apps/v1 kind: DaemonSet metadata: name: filebeat namespace: kube-system labels: k8s-app: filebeat spec: ...
5.2 基于二进制的Kubernetes集群部署
2021-10-07 18:21

xiaoyizi311的博客 1. 集群部署架构 2. 配置基础环境 2.1 系统配置主机名 iptables 防火墙内核参数及资源限制策略配置 2.2 安装docker 在master、etcd、node节点安装docker，安装及配置参考2.5.1.1 2.3 安装ansible 在部署主机...
【云原生】Kubernetes学习笔记
2023-09-23 14:07

pass night的博客 Kubernates学习笔记; 在真实集群中学习Kubernate的使用, 包含了Kubernetes的基本使用及部署
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
系统已结题 12月5日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 11月27日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 11月27日

悬赏问题

¥30 STM32 INMP441无法读取数据
¥100 求汇川机器人IRCB300控制器和示教器同版本升级固件文件升级包
¥15 用visualstudio2022创建vue项目后无法启动
¥15 x趋于0时tanx-sinx极限可以拆开算吗
¥500 把面具戴到人脸上，请大家贡献智慧
¥15 任意一个散点图自己下载其js脚本文件并做成独立的案例页面，不要作在线的，要离线状态。
¥15 各位帮我看看如何写代码，打出来的图形要和如下图呈现的一样，急
¥30 c#打开word开启修订并实时显示批注
¥15 如何解决ldsc的这条报错/index error
¥15 VS2022+WDK驱动开发环境