proxy - iptables模式下的kube-proxy在路由中不起作用-6ren

proxy - iptables模式下的kube-proxy在路由中不起作用

转载作者：行者123 更新时间：2023-12-02 11:54:58

32

4

我有的是

Kubernetes:v.1.1.2

iptables v1.4.21

内核:3.10.0-327.3.1.el7.x86_64 Centos

通过绒布udp

进行联网

没有云提供商

我所做的

我已使用 --proxy_mode = iptables 参数启用了它。我检查了iptables

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
KUBE-SERVICES  all  --  anywhere             anywhere             /* kubernetes service portals */
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
KUBE-SERVICES  all  --  anywhere             anywhere             /* kubernetes service portals */
DOCKER     all  --  anywhere            !loopback/8           ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  SIDR26KUBEAPMORANGE-005/26  anywhere
MASQUERADE  all  --  172.17.0.0/16        anywhere
MASQUERADE  all  --  anywhere             anywhere             /* kubernetes service traffic requiring SNAT */ mark match 0x4d415351

Chain DOCKER (2 references)
target     prot opt source               destination

Chain KUBE-NODEPORTS (1 references)
target     prot opt source               destination

Chain KUBE-SEP-3SX6E5663KCZDTLC (1 references)
target     prot opt source               destination
MARK       all  --  172.20.10.130        anywhere             /* default/nc-service: */ MARK set 0x4d415351
DNAT       tcp  --  anywhere             anywhere             /* default/nc-service: */ tcp to:172.20.10.130:9000

Chain KUBE-SEP-Q4LJF4YJE6VUB3Y2 (1 references)
target     prot opt source               destination
MARK       all  --  SIDR26KUBEAPMORANGE-001.serviceengage.com  anywhere             /* default/kubernetes: */ MARK set 0x4d415351
DNAT       tcp  --  anywhere             anywhere             /* default/kubernetes: */ tcp to:10.62.66.254:9443

Chain KUBE-SERVICES (2 references)
target     prot opt source               destination
KUBE-SVC-6N4SJQIF3IX3FORG  tcp  --  anywhere             172.21.0.1           /* default/kubernetes: cluster IP */ tcp dpt:https
KUBE-SVC-362XK5X6TGXLXGID  tcp  --  anywhere             172.21.145.28        /* default/nc-service: cluster IP */ tcp dpt:commplex-main
KUBE-NODEPORTS  all  --  anywhere             anywhere             /* kubernetes service nodeports; NOTE: this must be the last rule in this chain */ ADDRTYPE match dst-type LOCAL

Chain KUBE-SVC-362XK5X6TGXLXGID (1 references)
target     prot opt source               destination
KUBE-SEP-3SX6E5663KCZDTLC  all  --  anywhere             anywhere             /* default/nc-service: */

Chain KUBE-SVC-6N4SJQIF3IX3FORG (1 references)
target     prot opt source               destination
KUBE-SEP-Q4LJF4YJE6VUB3Y2  all  --  anywhere             anywhere             /* default/kubernetes: */

当我从另一台机器向服务ip发出 nc 请求时，在我的情况下是10.116.0.2，我得到了如下错误
nc -v 172.21.145.28 5000
Ncat:版本6.40( http://nmap.org/ncat)
你好
Ncat:连接超时。

而当我向172.20.10.130:9000服务器请求时，它工作正常。

nc -v 172.20.10.130 9000
Ncat:版本6.40( http://nmap.org/ncat)
Ncat:已连接到172.20.10.130:9000。
你好
是

从dmesg日志中，我可以看到

[10153.318195] DBG@OUTPUT: IN= OUT=eth0 SRC=10.62.66.223 DST=172.21.145.28 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62466 DF PROTO=TCP SPT=59075 DPT=5000 WINDOW=29200 RES=0x00 SYN URGP=0
[10153.318282] DBG@OUTPUT: IN= OUT=eth0 SRC=10.62.66.223 DST=172.21.145.28 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62466 DF PROTO=TCP SPT=59075 DPT=5000 WINDOW=29200 RES=0x00 SYN URGP=0
[10153.318374] DBG@POSTROUTING: IN= OUT=flannel0 SRC=10.62.66.223 DST=172.20.10.130 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=62466 DF PROTO=TCP SPT=59075 DPT=9000 WINDOW=29200 RES=0x00 SYN URGP=0

我发现我是否在Pod正在运行的计算机上。我可以通过服务ip成功连接。

nc -v 172.21.145.28 5000
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Connected to 172.21.145.28:5000.
hello
yes

我想知道为什么以及如何解决它。

最佳答案

我在Kubernetes 1.1.7和1.2.0上遇到了同样的问题。我开始没有--ip-masq的法兰绒，并为kube-proxy添加参数--masquerade-all = true，这很有帮助。

关于proxy - iptables模式下的kube-proxy在路由中不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34817624/

32

4

0

文章推荐： android - RxJava 和改造的单元测试

文章推荐： kubernetes - 轻松查看Kubernetes Pane 分配

proxy - 为什么jdk动态代理实现中没有使用参数 'proxy'？
我在这里阅读了有关代理的示例: http://docs.oracle.com/javase/1.3/docs/guide/reflection/proxy.html 可以看到，'invoke'方法中的
proxy - Nuxt Proxy 将 proxy 设置为 true 时将 POST 更改为 GET
在我的通用 nuxt 应用程序中，我将代理设置为 true 并重写了我的 url 以避免 CORS 问题。但是当我将代理设置为 true 时，我所有的发布请求都会更改为获取请求。不明白为什么以及如何将
java - 为什么 Apache Commons VFS 考虑 Http Proxy 和 Socks5 Proxy 而忽略 Socks4 Proxy？
我正在开发一个连接到 SFTP 服务器并使用 Apache Commons VFS 下载文件的应用程序，它工作得很好，但系统需要允许用户根据需要指定代理。现在，我知道 Apache Commons
java - 另一个实体无法转换到javassist-util-proxy-proxy
跟随线程[实体无法转换为javassist.util.proxy.Proxy，我现在确实有服务器端错误(tks thomas) 我无法在我的应用程序中面对真正的问题。 java.lang.ClassC
proxy - 是否可以使用 Charles Proxy 重写状态代码？
我正在使用 Charles Proxy 重写 API 的响应以进行测试。如果我设置断点，我就可以按照自己的意愿完全重写原始响应。但是，如果我想通过“重写”工具自动化它，我就陷入困境了，似乎你无法修
proxy - AWS : To redirect or to proxy files
让我解释一下困境。我使用 Amazon 的 3 项服务:EC2、S3 和 CloudFront。 EC2 接收上传的文件，并将其存储在 S3 存储桶中。然后 CloudFront 镜像 S3 存储桶
proxy - 球童服务器 :multiple proxies for same site
我正在使用 Caddy 在 DigitalOcean Ubuntu droplet 上反向代理某些站点。这是我的 Caddy 文件，非常简单:upside_down: my-site.com {
java - URLConnection(Proxy proxy) 忽略设置的代理
我正在尝试测试承受多台计算机负载的 SOCKS 代理。我的代码大纲类似于使用一个客户端直接连接到服务器，下载测试文件，并记录所花费的时间。通过代理与一个客户端连接，下载测试文件，并记录所花费的时间
proxy - 如何在 Tor 上运行 Charles Proxy？
以下情况: 如果我将浏览器的 http/https 代理设置为 Charles 为 (127.0.0.1:8888) 配置的端口，使用 Charles 代理拦截 Web 流量就可以正常工作如果我将浏
proxy - 使用 grunt-connect-proxy 的最小示例
我有一个使用 grunt 构建的 angularJs 应用程序和一个用 Java 编写的在 tomcat 服务器上运行的服务器后端。为了在开发时将它们连接在一起，我想使用 grunt-connect-
java - 无法将字段设置为 com.sun.proxy.$Proxy
对于文件上传，我试图在我的 Spring Controller 中注入(inject)并使用 validator ，如下所示: @RestController @RequestMapping("/ap
c# - 城堡动态代理 : How to Proxy Equals when proxying an interface?
我需要使用 CaSTLe DynamicProxy 来代理接口(interface)，方法是向 ProxyGenerator.CreateInterfaceProxyWithTarget 提供接口(i
java - 什么是 com.sun.proxy.$Proxy
我已经看到，当不同框架(例如实现 EJB 规范的框架或某些 JPA 提供程序)中发生错误时，堆栈跟踪包含像 com.sun.proxy.$Proxy 这样的类。我知道代理是什么，但我正在寻找更技术性和
proxy - 如何使用多个 apiserver 配置 kube-proxy master_url
我正在使用带有多个 apiserver 的集群设置，它们前面有一个负载均衡器，用于外部访问，并安装在裸机上。就像 High Availability Kubernetes Clusters 中提到的
charles-proxy - 浏览器不接受 Charles Proxy SSL 证书
我使用 Charles 代理(在 OS X 10.9.3 下，Mavericks 下)修改 Origin header ，以便我连接的 API(开发中)接受来自开发环境的传入请求。我设法通过一个简单
proxy - 如何在 Python 中关闭 ZeroMQ zmq.proxy？
我已经在 Python 中实现了一个“网络服务”父类(super class)，如下所示: class NetworkService (threading.Thread): """
javascript - node-http-proxy proxy.on ('proxyReq' ...) 永远不会触发
我正在使用node.js代理。但是它工作成功: proxy.on('proxyResponse', function (proxyRes, req, res) { console.log("h
docker - 服务 “nginx-proxy”使用未定义的网络 “nginx-proxy”
我正在尝试使用Nginx-Proxy在Ubuntu VPS的docker容器内运行WordPress网站。我创建了以下docker-compose.yml文件 version: '3.4' serv
haskell - 使用 DataKinds 扩展的更简洁的写作方式(Proxy::Proxy 42)
我一直在使用 DataKinds 扩展以类型安全的方式将类型级别 Nats 传递给函数，我只是想知道是否有更好的编写方式: (Proxy :: Proxy 42) 例如，如果类型系统看到参数需要，是否
java.lang.NoClassDefFoundError : javassist. util.proxy.Proxy
已关闭。此问题旨在寻求有关书籍、工具、软件库等的建议。不符合Stack Overflow guidelines .它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以

首页

博学

6Ren·AI

商城

proxy - iptables模式下的kube-proxy在路由中不起作用