调整k8s的iptable参数时启动生效报错

最新推荐文章于 2025-01-04 23:42:10 发布
原创 最新推荐文章于 2025-01-04 23:42:10 发布 · 766 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #java #容器

在尝试调整Kubernetes(k8s)节点的iptables参数时遇到启动错误,报错涉及net.bridge.bridge-nf-call-iptables等相关设置。解决方法包括检查conntrack模块是否已加载,通过`lsmod | grep conntrack`确认。如果未加载,使用`modprobe ip_conntrack`加载模块。完成这些步骤后,iptable参数设置应能成功生效。

调整k8s的iptable参数时启动生效报错

sysctl -p /etc/sysctl.d/kubernetes.conf

报错如下:

net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
net.ipv4.ip_forward = 1
net.ipv4.tcp_tw_recycle = 0
vm.swappiness = 0
vm.overcommit_memory = 1
vm.panic_on_oom = 0
fs.inotify.max_user_instances = 8192
fs.inotify.max_user_watches = 1048576
fs.file-max = 52706963
fs.nr_open = 52706963
net.ipv6.conf.all.disable_ipv6 = 1
sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory

可能是 conntrack没有加载

lsmod |grep conntrack 返回为空表示没有加载

modprobe ip_conntrack

再查就有了

[root@k8sNode1 local]# lsmod |grep conntrack
nf_conntrack_ipv4      20480  0
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
nf_conntrack          114688  1 nf_conntrack_ipv4

再次执行之前的语句即可

k8s】debug iptable 并追踪
突围
08-31 389
不同机房的机器,使用公网ip 搭建flannel的 k8s 可是一直pod 无法ping 其他node上的pod 10.244.0.1 10.244.0.1是flannel分配用与集群内部通讯的网段,这个host代表master节点,这个网段 kubeadm init 的候要和 flannel 通过–pod-network-cidr=10.244.0.0/16参数约定好,6443是apiserver服务的端口。 subnet.env [root@k2c4g3m-master0 ~]# cat ..
k8s报错整理集合---持续更新
欢迎来到我的博客,希望对您有所帮助
03-14 1304
个人整理kubernetes各种常见问题,该文章持续更新...
k8s实践4:kube-proxy问题iptables转发规则不显示
weixin_34378767的博客
03-12 1635
1.今天想看看kube-proxy的iptables转发规则,执行命令iptables-save,见下: [root@k8s-master1 test]# iptables-save |grep "^-A KUBE" -A KUBE-FIREWALL -m comment --comment "kubernetes firewall for dropping marked packets" -m ...
ip6tables v1.4.21: can‘t initialize ip6tables table `filter‘: Table does not exist
qq_18804879的博客
08-03 1195
ip6tables v1.4.21: can’t initialize ip6tables table `filter’: Table does not exist (do you need to insmod?) Perhaps ip6tables or your kernel needs to be upgraded.
Centos(云主机)傻瓜式安装k8s
weixin_45476233的博客
10-23 1452
⚠️注意:初始化完成后会生成一段代码,这段代码在。
k8s 内核优化
mnasd的博客
11-13 1824
# 所有主机:基本系统配置 # 关闭Selinux/firewalld systemctl stop firewalld systemctl disable firewalld setenforce 0 sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config # 关闭交换分区 swapoff -a yes | cp /etc/fstab /etc/fstab_bak cat /etc/fstab_bak |grep -v.
k8s环境部署
qq_44492067的博客
05-09 2452
kubernetes安装部署
k8s安装方式总结
@猿程序的博客
07-01 1710
实验环境规划:操作系统:centos7.6配置:16G内存/4vCPU/100硬盘网络:云服务器​ kubeadm 是官方提供的开源工具,是一个开源项目,用于快速搭建 kubernetes 集群,目前是比较方便和推荐使用的。kubeadm init 以及 kubeadm join 这两个命令可以快速创建 kubernetes 集群。Kubeadm 初始化 k8s,所有的组件都是以 pod 形式运行的,具备故障自恢复能力。
K8S知识点记录
王大阳的博客
07-31 2287
在本地调试运行在 Pod 中的数据库 查看pod kubectl get pod kubectl port-forward 端口映射 kubectl port-forward dev-db-5959f58bd7-88zlm 5432:5432 --address=0.0.0.0 启动Django 本地环境 DJANGO_SETTINGS_MODULE=project_name.settings_local python3 ./manage.py runserver ........
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 4006
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
KubernetesK8S)内核优化常用参数详解
小云的博客
02-10 4510
net.ipv4.tcp_keepalive_time=600 net.ipv4.tcp_keepalive_intvl=30 net.ipv4.tcp_keepalive_probes=...
linux 高并发 内核及nginx参数优化配置(高并发生产环境)
zb313982521的博客
07-10 354
net.nf_conntrack_max = 65536000 net.netfilter.nf_conntrack_tcp_timeout_established = 1200 net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_keepalive_time = 1200 net.ipv4.route.gc_timeout = 100 net.ipv4.ip_local_port_range = 1024 65000 net.ipv4.tcp_tw_reuse = 1 n
k8s基础之集群搭建
icanflying的博客
01-14 3120
一、服务器准备工作(以下是每个节点都要运行) 1.关闭防火墙 systemctl stop firewalld systemctl disable firewalld 2.关闭selinux,目的为了允许容器能够与本机文件系统交互。 sed -i 's/enforcing/disabled/' /etc/selinux/config setenforce 0 3.关闭swap swapoff -a 临关闭 永久关闭 echo "vm.swappiness=1"...
# 第五课 k8s网络基础学习-iptables和TCP协议
QnHyn
06-09 643
iptables和TCP协议
centos7添加bridge-nf-call-ip6tables出现No such file or directory
weixin_34162629的博客
07-01 916
在/etc/sysctl.conf中添加: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1   [root@localhost ~]# cat /etc/sysctl.conf net.bridge.bridge-nf-call-ip6tables = 1 net.bridge...
Alpine Linux安装docker后提示bridge-nf-call-iptables is disabled处理方法
qq_47719799的博客
01-04 684
启用并确保您的iptables规则适用于通过网桥接口的流量。
linux net.bridge.bridge-nf-call-iptables几个参数的使用
Emerson的博客
08-13 1110
这样的防火墙工具进行过滤和控制,那么将这三个参数都设置为 1 是有意义的。不过,这也可能会增加系统的延迟和资源消耗,因为每次数据包通过桥接设备都需要被多次检查。请注意,这些参数的设置通常需要管理员权限来修改,并且可能取决于你的系统和网络配置。在默认情况下,Linux 系统可能会根据其特定的安全策略自动调整这些值。是 Linux 系统中用于控制网络桥接防火墙规则的参数。通常情况下,如果你在使用 Linux 系统并且需要确保网络流量通过。
linux lsmod命令详解
热门推荐
Howie的专栏
05-22 4万+
lsmod  (list modules) 语  法:lsmod 功          能: lsmod 命令:是一个小程序,用来显示文件、proc/modules的信息,也就是显示当前内核模块装载的模块。 补充说明: 执行lsmod指令,会列出所有已载入系统的模块。Linux操作系统的核心具有模块化的特性,应此在编译核心,务须把全部的功能都放入核心。您可以将这些功能编
Linux 系统设置 : lsmod 命令详解
yexiang优快云的专栏
09-24 2344
lsmod命令用于显示已经加载到内核中的模块的状态信息。执行lsmod命令后会列出所有已载入系统的模块。Linux操作系统的核心具有模块化的特性,应此在编译核心,务须把全部的功能都放入核心。您可以将这些功能编译成一个个单独的模块,待需要再分别载入。 语法 lsmod 实例 [root@LinServ-1 ~]# lsmod Module Size ...
ipset 黑名单 iptable生效
最新发布
02-19
### 解决iptables结合ipset设置的黑名单规则不生效问题 #### 1. 确认内核模块加载情况 确保 `ipt_set` 模块已正确加载到内核中。可以通过以下命令验证: ```bash lsmod | grep ip_set ``` 如果未找到该模块,则需手动加载此模块[^2]。 #### 2. 创建并管理IP集合 创建一个新的 IP 集合用于存储被封禁的 IP 地址列表: ```bash ipset create banlist hash:ip timeout 0 ``` 向集合中添加特定 IP 或者批量导入多个 IP 地址: ```bash ipset add banlist 192.168.1.100 ``` 确认所创建的 IP 集合状态: ```bash ipset list banlist ``` #### 3. 设置iptables规则匹配IP集合 针对 HTTP 请求 (端口 80),阻止来自指定 IP 集合内的流量访问服务器: ```bash iptables -I INPUT -m set --match-set banlist src -p tcp --dport 80 -j DROP ``` 对于 HTTPS 流量(端口 443),同样可以应用类似的规则来保护网站安全[^1]。 #### 4. 核实IPv4与IPv6规则区别对待 由于 IPv4 和 IPv6 使用不同的服务名称和服务文件路径,因此需要分别处理这两种协议下的规则配置和保存操作。例如,在 CentOS/RHEL 中应执行如下指令以确保更改永久化[^3]: ```bash service iptables save # 对于 IPv4 service ip6tables save # 对于 IPv6 ``` #### 5. 排查常见错误原因 - **顺序不当**:新加入的 `-A` 动作会追加至链末端,可能导致某些流量在此之前已被允许通过;建议使用 `-I` 参数将规则插入到适当位置。 - **网络接口错配**:检查是否指定了正确的输入/输出接口参数 (`eth0`, `wlan0`)。 - **目标策略冲突**:默认策略可能覆盖自定义规则的效果,请调整相关政策设定。 - **日志记录缺失**:启用调试模式或增加日志条目以便追踪数据包流动轨迹,辅助定位具体故障点。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值