问题标签 [calico]

我们正在尝试使用 Docker 和 Kubernetes 两个组件来设置 IBM Datastage 容器。IBM 使用 Kubernetes 和 Calico（纯 IP 网络结构）作为网络。IBM 使用 ansible + shell 脚本在容器化环境中设置 InfoSphere DataStage 的部署。

在我们在 3 个未运行的节点上安装 calico pod 后，kube-dns 也处于创建状态。

创建 calico-node 和 kube-dns 时出错...谁能帮助我们？

我有两个问题：

背景：

• 我正在尝试在我的家庭网络上使用单个 Master 和单个 Minion 设置 Kubernetes（加上污染 Master 以便它可以运行 Pod）。
• 我正在使用 kubeadm 进行安装。
• 我想将 Calico 用于 CNI。
• 家庭 LAN 的子网 CIDR 为 192.168.10.0/24。
• 我正在使用“etcd 数据存储”方法安装 Calico。

Calico 的默认 Pod 网络 CIDR 为 192.160.0.0/16，并且 doco 声明它不能与物理网络重叠。我可以在 calico.yaml 中更改该设置，但文档还说明配置 etc_endpoints。

Q1。为什么需要配置 etcd_endpoint？

Q2。我在哪里找到价值？

[免责声明：这个问题最初发布在 ServerFault 上。但是，由于官方 K8s文档声明“在 StackOverflow 上提出您的问题”，因此我也在此处添加它]

我正在尝试使用 OCI VM 实例在 Oracle Cloud 上部署测试 Kubernetes 集群 - 但是，我遇到了 pod 网络问题。

网络插件是 Calico - 它似乎安装正确，但没有流量通过隧道从一台主机传输到另一台主机。例如，这里我试图访问在另一个节点上运行的 nginx：

使用 tcpdump，我看到 IP-in-IP（协议 4）数据包离开第一个主机，但它们似乎从未到达第二个主机（尽管所有其他数据包，包括 BGP 流量，都可以正常通过）。

到目前为止我检查过的内容：

1. Calico 路由网格很好用。我可以在数据包捕获中看到 BGP 流量，我可以使用 calicoctl 看到所有节点都“启动”

root@kube-01-01:~# ./calicoctl node status Calico 进程正在运行。

2. 子网的安全规则允许所有流量。所有节点都在同一个子网中，并且我有一个无状态规则，允许来自子网内其他节点的所有流量（我还尝试添加一个明确允许 IP-in-IP 流量的规则 - 结果相同）。
3. 在 K8s 节点上的所有 vNIC 上禁用源/目标检查。

我注意到的其他事情：

1. 如果我在 IP 封装中为同一子网流量禁用 IP，并在子网内使用常规路由（如AWS此处所述），我可以让 calico 工作
2. 其他网络插件（例如 weave）似乎可以正常工作。

所以我的问题是 - IP-in-IP 封装的流量发生了什么？还有什么我可以检查以弄清楚发生了什么吗？

是的，我知道我可以直接使用托管 Kubernetes 引擎，但其中的乐趣（和学习机会）在哪里？:D

编辑以解决 Rico 在下面的回答：

1）我也没有让任何 pod 到 pod 的流量流过（不同主机上的 pod 之间没有通信）。但是我无法捕获该流量，因此我以 node-to-pod 为例。

2）如果我在另一个节点上点击 NodePort svc 而不是运行 pod 的节点，我也会得到类似的结果 - 我看到来自第一个节点的传出 IP-in-IP 数据包，但它们从未出现在第二个节点（实际运行 pod 的节点）：

第二个节点（kube-01-06实际运行 nginx pod 的节点）上没有任何内容：

为了便于演示，我使用了 127.0.0.1 - 当然，当我从外部主机点击该 NodePort 时，也会发生完全相同的事情：

3）据我所知（如果我在这里错了，请纠正我），节点知道到 pod 网络的路由，并且 pod 到节点的流量也封装了 IP-in-IP（注意协议 4上面第一个捕获中的数据包）

我阅读了 calico 文档，它说 calico 将在启动时启动一个 etcd 实例，但我注意到 K8s 集群将在集群启动时启动一个 etcd pod。我希望 calico 使用该 etcd 节点，所以我执行以下操作：

使用 calicoctl 做测试，创建一个配置文件：

etcd 配置信息来自 /etc/kubernetes/manifests/etcd.yaml

仍然拒绝

我已经在数字海洋中安装了我的 kubernetes 集群（1master，3worker）。
问题是我在这个集群中安装了法兰绒和印花布。
我想从集群中完全移除印花布，还是可以拥有多个 CNI？

我最近将我的 GKE 集群从 1.10.x 升级到了 1.11.x，从那时起，我的calico-nodepod 无法连接到 etcd 集群并最终CrashLoopBackOff由于 livenessProbe 错误而告终。

我看到calico-etcdDaemonSet 需要状态 0 并且对此感到疑惑。节点选择器位于node-role.kubernetes.io/master=。

从此类calico-nodes 的日志中：

DaemonSet 的状态：

k get nodes --show-labels：

我没有修改任何印花布清单，它们应该是 GKE 提供的 1:1 配置。

我希望calico-nodes 连接到我的 Kubernetes 集群的 etc，或者连接到 DaemonSetcalico-etcd提供的一个。由于在 GKE 中没有我可以控制的主节点，我有点明白为什么calico-etcd处于状态 0，但是，calico-nodes 应该连接到哪个等？我的小型和基本设置有什么问题？

我已经安装kubernetes在数字海洋云上。我同时安装了flannel和calico作为 CNI。会，这会导致我的集群出现任何问题吗？

我使用 cni 插件 flannel 从 kubeadm 安装 kubernetes v1.11.5，一切正常。但是我在尝试切换到 calico 后发现跨机 pod 通信中断。所以我换回法兰绒。但是在创建 pod 时收到错误消息：

看来我需要重置cni网络？但我不知道如何解决这个问题。

我的法兰绒和印花布安装遵循kubeadm 指令进行零配置更新。

我有一个主节点和两个工作节点 kubernetes 集群。我看到所有的 pod 都运行良好。当我运行 iptable 规则时，重新启动 pod 失败。Calico 用于网络。

我打开了以下端口 Master（接受来自工作节点的流量）

179,9099,5000,10248-10252,443,2379-2380

Worker（接受来自主节点的流量）

179,9099,10248-10252,10250,2379-2380

我看到了上述规则的问题。当我打开节点之间的所有端口时，我看到失败的 pod 正在运行。你能告诉我我们是否需要在节点之间打开所有端口吗？还是我错过了任何端口？

我为节点启用了网络策略以管理集群内的流量，并注意到，在我应用此选项后 OpenVPN 停止工作，其他一切正常，就像我登录到 openvpn pod 并尝试访问外部网络一样，应用 networkpolicy 没有'没有帮助，我该如何解决？为什么会这样？