我正在按如下方式设置全局网络策略，但是文档声称这些条目位于 /var/log/syslog 中。但是哪个 pod 或资源可以让我看到这些信息？

Kubernetes 网络文档中的唯一要求是在 pod 之间打开防火墙。pod 到服务的连接如何工作，因为服务集群 ip range 和 pod cidrs 不同？

当我尝试为 pod 网络下载 calico.yaml 文件时收到以下错误

无法识别“calico.yaml”：版本“apps/v1beta1”中类型“Deployment”没有匹配项无法识别“calico.yaml”：版本“extensions/v1beta1”中类型“DaemonSet”没有匹配项

这是我运行“kubectl apply -f calico.yaml”时的完整输出

'configmap/calico-config created service/calico-typha created poddisruptionbudget.policy/calico-typha created serviceaccount/calico-node created customresourcedefinition.apiextensions.k8s.io/felixconfigurations.crd.projectcalico.org created customresourcedefinition.apiextensions.k8s.io /bgppeers.crd.projectcalico.org created customresourcedefinition.apiextensions.k8s.io/bgpconfigurations.crd.projectcalico.org created customresourcedefinition.apiextensions.k8s.io/ippools.crd.projectcalico.org created customresourcedefinition.apiextensions.k8s.io/hostendpoints .crd.projectcalico.org 创建了 customresourcedefinition.apiextensions.k8s.io/clusterinformations.crd.projectcalico.org 创建了 customresourcedefinition.apiextensions.k8s.io/globalnetworkpolicies.crd.projectcalico.org 创建了 customresourcedefinition.apiextensions.k8s.io/globalnetworksets.crd .projectcalico.org 创建了 customresourcedefinition.apiextensions.k8s.io/networkpolicies.crd.projectcalico.org 创建了无法识别“calico.yaml”：版本“apps/v1beta1”中没有匹配类型“部署”无法识别“calico.yaml” ": 在版本 "extensions/v1beta1" 中没有匹配类型 "DaemonSet"'

我已经设置了一个裸机集群，并希望为我的应用程序提供不同类型的共享存储，其中之一是我通过goofys挂载到通过 NFS 导出的 pod 的 s3 存储桶。然后，我使用 NFS 客户端配置器挂载共享以自动向 pod 提供卷。

抛开性能评论不谈，问题是 nfs 客户端配置程序通过节点的操作系统挂载 NFS 共享，所以当我将服务器名称设置为 NFS pod 时，它被传递到节点并且它无法挂载，因为它没有路由到服务/pod。

到目前为止，唯一的解决方案是将服务配置为 NodePort，通过节点上的 ufw 阻止外部连接，并将客户端配置器配置为连接到 127.0.0.1:nodeport。

我想知道节点是否有办法使用服务的 dns 名称访问集群服务？

这是使用 calico 的 Kubespray 部署。除了存在代理之外，所有默认设置都保持原样。Kubespray 运行到最后没有问题。

对 Kubernetes 服务的访问开始失败，经过调查，没有路由可以托管到coredns服务。通过 IP 访问 K8S 服务有效。其他一切似乎都是正确的，所以我留下了一个可以工作的集群，但没有 DNS。

以下是一些背景信息： 启动一个 busybox 容器：

现在是显式定义 CoreDNS pod 之一的 IP 时的输出：

注意 telnet 到 Kubernetes API 是有效的：

kube-proxy 日志： 10.233.0.3 是 coredns 的服务 IP。最后一行看起来令人担忧，尽管它是 INFO。

所有 pod 都在运行而不会崩溃/重新启动等，否则服务会正常运行。

IPVS 看起来是正确的。CoreDNS 服务在那里定义：

主机路由看起来也正确。

我已经用 iptables 而不是 ipvs 在 flannel 和 calico 的不同环境中重新部署了同一个集群。临时部署后，我还禁用了 docker http 代理。这些都没有任何区别。

另外：kube_service_addresses：10.233.0.0/18 kube_pods_subnet：10.233.64.0/18（它们不重叠）

调试此问题的下一步是什么？

我已经通过 kubespray 在我自己的几个虚拟机上配置了一个 kubernetes 集群。Kubespray 使用 project-calico 作为默认的网络插件，它非常适合我将集群网络中的服务代理到外部世界的要求。

Kubespray 将 apiserver 本身部署为 ClusterIP 服务。为了使它可以从外部访问，它使用主节点主机 IP 地址定义了此服务的端点，据我所知，Calico 将其路由到内部 ClusterIP。

我的问题是：如何定义我自己的端点（用于另一个服务），因为这些端点已经通过配置 service.yaml 得到隐式定义并且不能被覆盖。我想采用类似的方法让我的 Rook/Ceph Dashboard 从集群外部可见。

编辑：注意kubectl get ingresses.networking.k8s.io --all-namespaces退货No resources found.和kubectl describe service kubernete退货

我正在使用 Kubernetes 作为基础设施提供者来实现一个集群 api 控制器——也就是说，我正在尝试将 Kubernetes 节点作为 Kubernetes Pod 运行并在集群中形成一个集群。

除了内部集群的 Pod 之间的网络连接（在基础设施集群的 Pod 上运行）之外，我还有这个工作，但我不知道问题是什么。

我在 GKE 上运行，使用他们的默认 CNI 实现。然后，我尝试将 Calico 用于内部集群的覆盖实现，使用 IP-in-IP 封装，因此基础设施集群的节点不需要知道如何路由内部集群 Pod IP。

我正在按如下方式创建基础设施集群（Calico 的 IP-in-IP封装所需的ipip内核模块需要UBUNTU 映像。

然后我将一些 nginx Pod 部署到内部集群。如果它们落在同一个内部集群节点上，它们就可以相互连接。如果它们降落在单独的内部集群节点上，它们就不能，所以我认为这意味着 IP-in-IP 隧道无法正常工作，但我不知道为什么。即使内部集群节点（Pod）位于相同的基础设施（外部集群）节点上，这也会失败。两个集群的 Pod 和 Service CIDR 范围不重叠。

我意识到这不是 Calico 受支持的用例，但我看不出为什么它不可能并且想让它工作。外部集群节点是否需要支持转发 IP-in-IP 数据包？它们被配置为转发 IPv4 数据包，但我不确定这是否足够。

我想需要更多信息才能给出为什么这不起作用的具体原因，但我不太确定此时会是什么，并且会感谢任何方向。

现在，当我尝试访问 URL https://172.21.97.117:6443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy时，我可以看到标题已加载，但关联的 js 并不多它。以下是我从浏览器的 devtools 获得的 javascript

我可以直接从部署它的机器（worker 1）和 js 访问 kubernetes 仪表板容器，但是从主节点和其他工作节点，js 没有加载。

仪表板安装自 - https://github.com/kubernetes/dashboard

Pod ip 仅从同一节点 ping。

当我尝试从其他节点/工作人员 ping pod ip 时，它没有 ping。

当我尝试从节点 3 在节点 2 上使用 ip 192.168.104.8 ping pod 失败并说 100% 数据丢失

我使用 Calico 网络层在 Kubernetes 主机上遇到了与网络相关的问题。对于持续集成，我需要在 docker 中运行 docker，但是docker build使用这个Dockerfile运行起来很简单：

产生输出：

似乎 docker 容器在 Kubernetes 上创建时路由无效。Kubernetes 编排的 Pod 可以正常访问 Internet。