问题标签 [calico]

当我配置 API piVersion: v1 kind: calicoApiConfig metadata: spec: etcdEndpoints: https:.... etcdKeyFile: /admin-key.pem etcdCertFile: admin.pem etcdCACertFile:

下面是我得到的错误，这里的 admin-key.pem 和 admin.pem 是什么？

C:\Program Files (x86)\Google\Cloud SDK>calicoctl-windows-amd64.exe get nodes --config=calicoctl.cfg.txt 未能创建 Calico API 客户端：打开 C:\Users\Admin.bluemix\plugins \container-service\clusters\VoiceGW_Cluser/admin.pem：系统找不到指定的文件。

我正在使用 calico 2.6 和 docker 17.09.0-ce，它工作正常。我只有 2 个问题无法找到答案。

1) 如何完全关闭 calico/felix iptables 规则？我在想这可能适用于 CALICO_LIBNETWORK_CREATE_PROFILES=false 环境变量，但仍然设置了 iptable 规则。或者，我如何将系统设置为“全部允许”。

2) 如果 1) 的答案是这是不可能的，那么我如何允许集群中的任何主机与任何工作负载端点对话（例如 ping 或 curl）？我可以从运行工作负载的主机与工作负载通信，但不能从集群中的任何其他主机通信。我尝试过应用带有“egress：action：allow”和“ingress：action：allow”的配置文件，但它仍然会阻止来自其他主机的流量。我证实这确实是由于 calico 通过跟踪它们以及禁用它们而生成的 iptables 规则。然后它工作。我在停止 calico/node 容器后使用了以下脚本：https ://github.com/projectcalico/calico/blob/master/hack/remove-calico-policy/remove-calico-policy.sh

顺便说一句， FELIX_DEFAULTENDPOINTTOHOSTACTION=ACCEPT 标志似乎也不起作用。

我有一个 Kubernetes 集群。它使用 flannel 来提供网络功能。它关闭了 cni 网络插件。

但是，flannel 不支持 kubernetes 网络策略，我将对其进行测试。我想要的是保留现有的网络配置，并以仅策略模式安装 calico。

Canal是一个结合了法兰绒和印花布的项目。但是它将 flannel 和 calico 都视为 cni 插件。

我将canal_etcd_tls.yaml更改为仅安装策略印花布。不幸的是，它效果不佳。这是我更改的 cni 网络配置：

那么，有没有一种方法可以将仅策略的 calico 安装为 cni 插件，并保持现有的无 cni 法兰绒工作？

对于 k8s 集群中的每个服务，kubernetes 都会对请求数据包进行 snat。iptables 规则是：

它在大多数情况下都能正常工作，但在网络策略中却不行。Caclico 使用 ipset 实现 networkpolicy，匹配的 set 只包含 pod ip。

所以当服务 pod 运行在 node1 上，访问 pod 运行在 node2 上。networkpolicy会DROP请求，因为请求的src ip是node2的ip或者flannel.1的ip。

我认为可能有一种方法可以关闭 clusterip 服务的 snat。但是我在任何地方都找不到它，有人可以帮我吗？

非常感谢！

虽然有一些像我一样的问题，但修复对我不起作用。我正在使用 kubernetes v1.9.3 二进制文件并使用 flannel 和 calico 来设置 kubernetes 集群。应用 calico yaml 文件后，它会卡在创建第二个 pod 上。我究竟做错了什么？日志并不清楚说明出了什么问题

kubectl get pods --all-namespaces

kubectl describe pod calico-node-n87l7返回

在 IBM Cloud Private 2.0.1.2 安装（单节点 ubuntu 16.04）期间，我遇到以下错误：

我在这里尝试了类似问题的建议，但没有一个对我有用，这可能是由于错误消息略有不同。我不明白为什么在等待这台机器上的文件时会超时。

任何帮助表示赞赏，谢谢！

在安装过程中，我在主机 ip 192.168.240.14 的 Ubuntu 16.04 单节点上遇到此错误：

我读到可以禁用 calico 的节点到节点网格功能，但由于 calico 是通过 ICP 安装的，calicoctl因此无法识别该命令。在 config.yaml 中，我也找不到可以禁用此设置的选项。

到目前为止，我已尝试通过单独下载和执行 calicoctl 来禁用它，但无法建立与集群的连接：

我不确定是不是因为它尝试拨打环回 IP 地址而不是 192.168.240.14 或其他。而且我也不知道这是否真的可以解决安装过程中的问题。

我对此不是很有经验，并感谢您的帮助！

编辑：

我再次使用 ICP 2.1.0.1 运行安装并遇到相同的错误，但重试了 10 次并收到以下错误消息：

我不明白为什么突然将 localhost 包含在设置步骤中，因为我只在 hosts 文件中指定了我的 IP 地址：

我的 config.yaml 文件如下所示：

我使用 Kubespray 部署工具（启用了 kubeadm 实验功能标志）部署了一个 Kubernetes 1.10.4 集群（3 个 Master，2 个 Workers）。

顺便说一句，我将 Canal 用作“kube_network_plugin”。

我的客户有一些网络限制。他们提供了以下网络空间：

• 192.168.150.0/25
• 192.168.150.128/25
• 192.168.151.0/25

关于 kubespray 'k8s-cluster.yml'，我已经更改了默认参数，默认为：

• kube_service_addresses：10.233.0.0/18
• kube_pods_subnet：10.233.64.0/18
• kube_network_node_prefix：24

我们尝试更改这些参数以匹配客户提供给我们的网络空间，但不幸的是，此修改没有按预期工作。我们很快意识到使用 /25 掩码无法按预期工作，因此我们尝试从 /25 到 /20 使用，但没有任何效果。

我尝试使用 192.168.150.0/18 或 172.18.0.0/18 并且一切顺利（只要我们使用 /18 掩码），如下所示。

当使用不同于 /18 的掩码时，集群呈现的行为有点奇怪，因为例如 kube-dns pod、kube-proxy pod、kube-autoscaler 等，根本不会起床或 canal-pods部署在一个节点中，但在其他集群节点中却没有。

Kubernetes 是否有任何限制/约束不支持与 /18 不同的任何网络，或者我做错了什么？

我在网上搜索过这个，但在我读到的所有内容中都没有明确说明这一点。有人说（https://docs.projectcalico.org/v3.1/reference/calicoctl/resources/ippool）可以设置与默认值（/16）不同的掩码，但事实是如果我们改变它，它不起作用。

你能帮我解决这个问题吗？

此致，

佩德罗·克拉沃·洛佩斯。

如何监控网络策略行为？

我有一个 calico 作为 SDN 的 k8s 集群。

例如，我创建了一个网络策略来拒绝来自一组 IP 的流量。

我尝试从这些 IP 中执行一些操作，但它们失败了。

我在哪里可以看到由于网络策略而被拒绝的流量？

谢谢你。

我通过以下命令在我的 Ubunt 中安装了 Calicotl：

curl -O -L https://www.projectcalico.org/builds/calicoctl

但是，当我必须在终端中尝试这个命令时

我有这个错误

那么，我该如何解决呢？非常感谢！我尝试使用 sudo 进行此操作，但是它不起作用