问题标签 [kubernetes-networking]

在我的 microk8s 服务器上，我创建了一个通过 NodePort 公开的 kubernetes 服务，但它拒绝连接。我不确定为什么。无论我尝试 telnet 到 NodePort 端口（31000），它总是拒绝连接。监听端口 32000 的 microk8s 插件（注册表）提供了类似的服务。从主机本身远程登录到该端口就像从外部一样工作正常。没有防火墙正在运行，ufw 被禁用。

这是服务：

这是我的部署：

这是创建的服务：

这是它的描述：

端点存在：

获取节点 - owide 输出：

Dockerfile 非常简单。只是基础：

和运行脚本：

没什么特别的。任何想法为什么它不起作用？

要求： 如果我这样做ifconfig，那么我想查看物理接口卡，我需要访问它才能在容器内使用。

为什么？- 因为我需要创建一个从容器到接口的套接字 注意：这个接口必须在 OSI 第 2 层访问，而不是通过 IP。

我尝试了什么（特权主机网络模式。不要遵循这个，它可能不对）这是实现它的非常不安全和冒险的方式。

root@canmaster:~# cat priv.yaml

正如标题所示，GCP-LB 或作为 LoadBalancer 类型公开的 HAProxy Ingress Controller Service 将流量不均匀地分配给 HAProxy Ingress Controller Pod。

设置：
我在 GCP 中运行 GKE 集群，并使用 HAProxy 作为入口控制器。
HAProxy 服务作为具有静态IP 的负载均衡器类型公开。

HAProxy 服务的 YAML：

用于 HAProxy 部署的 YAML：

HAProxy 配置图：

问题：
在调试其他问题时，我发现 HAProxy pod 上的流量分布不均匀。例如，一个 Pod 每秒接收 540k 请求，而另一个 Pod 每秒接收 80k 请求。

在进一步调查中，还发现，新启动的 Pod 在接下来的 20-30 分钟内不会开始接收流量。即使在那之后，也只有一小部分流量通过它们。

检查下图：

流量分布不均的另一个版本。这似乎根本不是随机的，看起来像是加权流量分布：

流量分布不均的另一个版本。来自一个 Pod 的流量似乎正在转向另一个 Pod。

什么可能导致这种不均匀的流量分布并且在很长一段时间内没有向新的 Pod 发送流量？

我有 20 个工作节点，想建立一个到防火墙之外的外部系统的 tcp 连接。现在我已经为所有 20 个工作节点打开了防火墙（使用节点 IP）

对于每个集群 - 我需要为所有工作节点获取防火墙访问权限，因为我的 TCP 连接器 pod 没有节点关联。有没有更好的方法来管理这种情况？

#kubernetes#k8s #service #network

我已经安装了 k3s 并在新的命名空间中创建了一个 testpod。我想知道两件事：

1. curl -v https://google.com当我做或 curl -v https://github.com从那个 testpod时，我怎么知道有多少网关为出口呼叫/传出呼叫打开？
2. 那么如何阻止（或路由来自）所有这些网关的流量，以便出口流量通过我将创建的通用网关？

我已经在我的 ubuntu 机器上部署了egress-operator，这个操作员在内部使用envoy代理来控制出口流量。

这个想法是只允许来自 test-pod 的白名单域用于出口。我已经应用了yaml这个运营商的外部服务，但它给出了相反的结果，而不是允许google.com它阻止 google.com 并允许其他调用。我可能做错了什么？

我的 ExternalService.yaml

我的 testpod.yaml

从 testpod 何时curl -v https://google.com被阻止并且允许其他 url。根据运营商的自述文件，我还需要一个默认拒绝出口 K3s 策略，因此我也应用了它。但在default-deny-Egress政策之后，包括 google.com（列入白名单的那个）在内的所有出口呼叫都被 testpod 阻止了。

Default-Deny-All-Egress.yaml

如何路由来自 egress-operator pod 或 egress-operator 网关的出口流量？

我正在尝试了解Kubernetes-Operator中的出口流量控制。如果我在我的 k3s 设置中实现 Kubernetes 算子，出口流量在算子中是如何发生的？

我想了解在 Kubernetes 运营商（出口流量的旅程）中发生的出口流量会发生什么路径/网关和路由？

假设我有一个 Kubernetes 设置，其中包含以下内容：

• 3 个控制平面
• 2 个工作节点

两个工作节点确保我的应用程序始终可以部署在多台机器上，三个控制平面确保我始终拥有可以管理工作节点的东西——到处都是冗余。

现在，瓶颈；当我的 DNS 提供商转发mysite.com到一台机器时，它会转发到我的公共 IP。这击中了我的路由器，我需要将该请求转发到我的集群......但是我应该将它转发到哪台机器？

我想我在这里遗漏了一些东西。如果我有入口设置，它允许我获取任何类似的东西mysite.com/somepath并将其转发到负载均衡器，但是我如何从路由器到入口？我不需要通过 IP 地址将路由器指向集群吗？当该节点关闭时，我的集群无法访问，对吗？

我了解，SR-IOV 使物理 NIC 能够被“视为”为多个设备并单独使用。（请参阅此处。）虽然以下示例来自Charmed Kubernetes，但它代表了在 pod 中使用 SR-IOV 的一般机制。

我的问题如下。如果有另一个pod定义（类似于下面的定义），我可以让那个 pod 专门使用特定的“设备”吗？相反，其他pod定义会与之前定义的共享“设备”pod吗？或者，SR-IOV 是否仅适用于多宿主吊舱？

我在 SLES 15 SP3 上运行 RKE2 kubernetes 发行版。RKE2 使用 Canal (Calico + Flannel) 进行网络管理。

我有一个在其他服务中运行的保险库和 rke2-metrics-server。

rke2-metrics-server 失败并显示以下日志：

此外，我可以从主机访问vaultusing但是当我尝试从另一个 pod 访问时，它失败了。因此，主机到 pod 网络很好，但 pod 到 pod 不工作。curlvault

自从我从OpenSUSE Leap 15迁移到SLES 15 SP3后，我就遇到了这个问题。网络设置保持不变。在 OpenSUSE 中，一切都运行良好。