[kubernetes]Calico运行异常:dial tcp 10.96.0.1:443: connect: connection refused

最新推荐文章于 2025-06-03 14:02:10 发布
最新推荐文章于 2025-06-03 14:02:10 发布
阅读量1.1w 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 云原生 web开发 文章标签: kubernetes Calico
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dingpwen/article/details/124444614
安装Calico后,pod未能进入Ready状态,报错:dial tcp 10.96.0.1:443: connect: connection refused。错误根源不在于iptables,而是由于10.96.0.1是kubernetes API的ClusterIP。集群内pod通过kube-proxy访问此服务。问题可能是kube-proxy未运行或异常。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安装calico网络插件之后,发现相关pod一直不能进入Ready状态,查看log,出现如下问题:

Hit error connecting to datastore - retry error=Get “https://10.96.0.1:443/api/v1/nodes/foo”: dial tcp 10.96.0.1:443: connect: connection refused

网上查资料都说是什么iptables配置的问题,各种尝试,发现完全不对。于是打算从根源了解这个东西。

那么这个10.96.0.1到底是什么呢?原来

在 kubernetes,可以从集群外部和内部两种方式访问 kubernetes API,在集群外直接访问 apiserver 提供的 API,在集群内即 pod 中可以通过访问 service 为 kubernetes 的 ClusterIP。kubernetes 集群在初始化完成后就会创建一个 kubernetes service,该 service 是 kube-apiserver 创建并进行维护的,如下所示:

[root@master1 dingpwen]# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP   2d20h

内置的 kubernetes service 无法删除,其 ClusterIP 为通过 --service-cluster-ip-range 参数指定的 ip 段中的首个 ip,kubernetes endpoints 中的 ip 以及 port 可以通过 --advertise-address 和 --secure-port 启动参数来指定。

那么我们Node上的pod又如何才能访问到这个服务呢?毕竟相对于master机器,Node机器通过ip访问相当于“外网”。

其实我们查看kube-proxy的代码就会发现

I0427 01:46:24.595581       1 config.go:233]
最低0.47元/天 解锁文章

200万优质内容无限畅学
Rancher 调用集群报错:dial tcp 10.1.0.1:443: connect: connection refused
06-13 3727
Rancher 调用集群报错:dial tcp 10.1.0.1:443: connect: connection refused ! 解决调用失败问题
dial tcp 10.96.0.1:443: connect: no route to host
qingcyb的博客
06-21 1477
1、创建Pod一直不成功,执行kubectl describe pod runtime-java-c8b465b98-47m82。可能是 iptables 规则乱了。
访问harbor报Get “https://xxx:443/v2/“: dial tcp xxxx:443: connect: connection refused
最新发布
小柏ぁ的博客
06-03 335
所以即使我的docker-proxy显示监听了0.0.0.0:443但请求被 kube-proxy 抢先截断了。于是为了验证,就将kubernetes-dashboard先删除,发现正常了。说明harbor本身是没有问题的,可能就是iptable规则的问题了。,因为这个地址在 kube-proxy 的 NAT 规则中是一个。发现Habor 的 443 端口访问问题很可能是被。今天在拉取本地harbor仓库镜像的时候,拉取不到。kube-proxy 设置了 REJECT 规则,我有个服务是不正常的。
dial tcp 10.96.0.1:443: connect: network is unreachable
shida's blog
10-17 1万+
今天,在部署 k8s 集群时,发现 CoreDNS 一直无法启动成功,报类似标题所示的错误,现记录下问题排查的主体过程: 1. 首先,正常情况下,所有 Node 应该都能够访问 10.96.0.1:443,到 CoreDNS Pod 所在节点,执行: # curl https://10.96.0.1 curl: (60) Peer's Certificate issuer is not re...
k8s集群-calico-报错-dial tcp *:10250: connect: connection refused
博然的宝藏库
05-23 2343
Kubernetes 集群中,确认节点已经重新启动并正常运行。错误,请确保与 Kubernetes API 的连接正常。确认节点与集群的网络连接正常。确认 Calico Pod 的状态为。
k8s集群报错:dial tcp 10.96.0.1:443: connect: no route to host
Explore
11-28 2万+
问题表征: kube-system coredns-66bff467f8-6gtp8 0/1 Running 2 29d 100.86.78.200 km1 <none> <none> kube-system coredns-66bff467f8-gf6x4 0/1 Running 2 29d 100
Get https://IP/: dial tcp IP:443: connect: connection refused
xiaoluo520112的博客
09-03 1万+
docker push 镜像到自己搭建的harbor服务器时报错。先看下 daemon.json文件 重点是这里面的"insecure-registries":["ip:port"] ,如果没有这句话,就把这句话加上去。 然后,重点来了。想要把文件成功push,还有两步。 比如,你想把某个本地已经存在的镜像 aim 上传到服务器,步骤: 1 docker tag aim ip:port...
【istio】dial tcp 10.96.0.1:443: i/o timeout
突围
08-20 3518
官方中文版本的wiki 10.96.0.1 的问题 kubectl get pods -n istio-system -o wide istio的pod [root@k2c4g3m-master0 bin]# kubectl get pods -n istio-system -o wide NAME READY STATUS RESTARTS AGE IP NODE ..
K8S集群出现dial tcp 127.0.1.1:6443: connect: connection refused,一定要关闭交换分区 swapoff -a
shanghaizhjw的博客
01-10 792
发现除了master01之外,其他的slaver节点均处于NotReady状态,slaver节点也必须关闭交换分区。先检查下crictl ps,看看是否有容器在运行。如果没有容器运行的话,大概率是没有关闭交换分区。本文使用的VMware workstation虚拟机,一定要关闭交换分区。在其他3个节点执行完命令后。此时在检查是否有容器运行
[reset] Unmounting mounted directories in "/var/lib/kubelet" W0321 14:19:36.524481 91940 cleanupnode.go:99] [reset] Failed to remove containers: [failed to stop running pod cdf897d2b8231f7d3fffa49017090a655b94ddb22cbc24d06f32d519fbaa2c5f: output: E0321 14:19:19.953922 92079 remote_runtime.go:205] "StopPodSandbox from runtime service failed" err="rpc error: code = Unknown desc = failed to destroy network for sandbox \"cdf897d2b8231f7d3fffa49017090a655b94ddb22cbc24d06f32d519fbaa2c5f\": plugin type=\"calico\" failed (delete): error getting ClusterInformation: Get \"https://10.96.0.1:443/apis/crd.projectcalico.org/v1/clusterinformations/default\": dial tcp 10.96.0.1:443: connect: connection refused" podSandboxID="cdf897d2b8231f7d3fffa49017090a655b94ddb22cbc24d06f32d519fbaa2c5f" time="2025-03-21T14:19:19+08:00" level=fatal msg="stopping the pod sandbox \"cdf897d2b8231f7d3fffa49017090a655b94ddb22cbc24d06f32d519fbaa2c5f\": rpc error: code = Unknown desc = failed to destroy network for sandbox \"cdf897d2b8231f7d3fffa49017090a655b94ddb22cbc24d06f32d519fbaa2c5f\": plugin type=\"calico\" failed (delete): error getting ClusterInformation: Get \"https://10.96.0.1:443/apis/crd.projectcalico.org/v1/clusterinformations/default\": dial tcp 10.96.0.1:443: connect: connection refused" : exit status 1, failed to stop running pod e4fee45416ccc066380fe4d0f2f28ca861bf836967d88f2074ce62d6d77ec9ed: output: E0321 14:19:20.255860 92242 remote_runtime.go:205] "StopPodSandbox from runtime service failed" err="rpc error: code = Unknown desc = failed to destroy network for sandbox \"e4fee45416ccc066380fe4d0f2f28ca861bf836967d88f2074ce62d6d77ec9ed\": plugin type=\"calico\" failed (delete): error getting ClusterInformation: Get \"https://10.96.0.1:443/apis/crd.projectcalico.org/v1/clusterinformations/default\": dial tcp 10.96.0.1:443: connect: connection refused" podSandboxID="e4fee45416ccc066380fe4d0f2f28ca861bf836967d88f2074ce62d6d77ec9ed" time="2025-03-21T14:19:20+08:00" level=fatal msg="stopping the pod sandbox \"e4fee45416ccc06638
03-22
- 具体报错:`error getting ClusterInformation: Get "https://10.96.0.1:443/apis/crd.projectcalico.org/v1/clusterinformations/default": dial tcp 10.96.0.1:443: connect: connection refused` - IP 地址 `...
dial tcp 10.96.0.1:443: getsockopt: no route to host --- kubernetes(k8s)DNS 服务反复重启
热门推荐
shida's blog
04-21 4万+
kubernetes(k8s)DNS 服务反复重启解决:k8s.io/dns/pkg/dns/dns.go:150: Failed to list *v1.Service: Get https://10.96.0.1:443/api/v1/services?resourceVersion=0: dial tcp 10.96.0.1:443: getsockopt: no route to host...
helm pull或者访问github dial tcp xxx.xxx.xxx.xxx:443: connect: connection refused问题解决
weixin_40548182的博客
05-14 1690
在windows cmd中ping objects.githubusercontent.com 和 github.com这两个域名,找到ip地址,写入linux机器上的/etc/hosts解析中。警告:github地址会经常变动,变化后再执行helm pull还是会报一样的错误,重新找ip地址即可。
k8s安装kubernetes-dashboard 一直报错 dial tcp 10.96.0.1:443: i/o timeout
hao1454507493的博客
09-03 1万+
kubectl logs kubernetes-dashboard-74d688b6bc-6fjnj -n kubernetes-dashboard 2020/09/03 09:27:34 Starting overwatch 2020/09/03 09:27:34 Using namespace: kubernetes-dashboard 2020/09/03 09:27:34 Using in-cluster config to connect to apiserver 2020/09/03 09:27
docker拉取redis报错443: connect: network is unreachable
weixin_52370088的博客
05-25 1899
出现此问题的原因是dns没有配置好,执行如下命令查resolv.conf 配置文件。
dial tcp 10.96.0.1:443: i/o timeout
松啊呆的博客
12-04 1万+
在安装KubeSphere使用 kubectl apply -f https://github.com/kubesphere/ks-installer/releases/download/v3.2.0/kubesphere-installer.yaml命令时,然后查看日志发现提示dial tcp 10.96.0.1:443: i/o timeout,这个报错尝试了很多解决方案,最终是将fannel网络组件切换成了Calico网络组件,具体操作如下: 1.重置k8s sudo kubeadm reset
calico问题——kube-apiserver报错了服务kubernetes/default的集群IP 10.0.0.1不在服务CIDR 169.169.0.0/16内;请重新创建.
weixin_43804233的博客
05-08 460
安装网络插件,并运行会生成有关cni文件目录,里面会显示要使用的master cluster ip,一定要和master_ssl.cnf中对应上,不然后面会导致容器无法正常运行!这里的ip段是有讲究的,不然后面安装的calico网络插件会找不到,会报错。一定要检查kube-apiserver的配置文件。ps:不懂就记录,好记性不如烂文档。这三个是三个master的运行情况。
k8s coredns 出现network unreachable 问题
zhaijiajia94的博客
06-16 928
k8s coredns network unreachable
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值