集群外部无法通过 NodePort 方式访问 Prometheus 的 Web UI

已于 2024-08-23 00:29:26 修改
阅读量925 收藏 5
点赞数 5
CC 4.0 BY-SA版权
文章标签: prometheus 云原生 kubelet linux k8s
于 2024-08-20 10:22:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fangment1/article/details/141349652

在k8s中Prometheus 服务的 NodePort 已经正确配置,但集群外部无法通过 NodePort 方式访问 Prometheus 的 Web UI(集群使用了网络插件Calico)。

排查一:

在集群宿主机进行测试:

kubectl describe svc prometheus-k8s -n monitoring

从输出结果来看,服务 prometheus-k8s 已经正确配置了两个端口:一个是用于 Web 端口的 9090(NodePort 为 32148),另一个是用于重新加载 Web 端口的 8080(NodePort 为 31109);

然后执行:

curl -L http://<node-ip>:<nodeport>

成功获取了Prometheus Web UI 的 HTML 页面。这表明集群内部可以通过 NodePort 访问 Prometheus 的 Web UI,可以排除 Prometheus Pod 和 Service 的基本配置问题,因为集群内部可以成功访问;

排查二:

尝试从集群的另一个一个节点使用 curl 直接访问 NodePort 服务,显示连接超时;这说明有可能是集群主机上的防火墙规则未允许外部流量到达 Prometheus 的 NodePort,需要手动添加规则以允许 TCP 流量通过端口。

解决方案一:

我的主机节点之前就已经把防火墙(firewalld)关了,需要重新开启,然后在开放防火墙端口:

########################
# master节点防火墙设置
########################

# 所有master节点开放相关防火墙端口
$ firewall-cmd --z
最低0.47元/天 解锁文章

200万优质内容无限畅学
fragment~
关注
K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
04-08 3万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
K8S集群安装kafka集群(持久化数据)并构建webui
cheetahsun的博客
06-28 1804
5.手动在helm链接中的Default Values下载对应版本的默认值,然后本地修改后上传服务器(或者下载chart包修改默认value值)(1)客户端需不需要认证的配置在这里,因为我是全内网使用为了简单,配置了PLAINTEXT,大家可以自行决定。通过helm的方式安装kafka集群(有持久化),kafka并无官方helm,我们使用binata的版本。(3)专门用于Kafka集群中Broker之间的通信的监听器,为了简单,也配置了PLAINTEXT。4.查看kafka的Chart包的历史版本。
设置service的nodeport以后外部无法访问对应的端口的问题
weixin_34268579的博客
04-13 2929
关于Service 设置为NodePort 模式后导致外部无法访问对应的端口问题,查看下node节点上已经出现了30002端口的监听,确保服务器外部安全组等限制已经放行该端口,按照网上搜到的教程配置基本没看到要配置iptables相关的问题。 然后查阅了不少资料才看到docker 1.13 版本对iptables的规则进行了改动,默认FORWARD 链的规则为DROP ,带来的问题主要一旦DROP...
k8s service nodePort无法访问的问题
weixin_45958218的博客
11-11 5685
K8s集群中各节点无法访问问题
Kubernetes生产实战(二):NodePort无法访问排查指南(网络策略&&生产环境优化)
sre救赎之路
05-10 1036
NodePort实现原理:kube-proxy通过监听API Server,动态维护iptables/IPVS规则,将NodePort流量转发到后端Pod。为什么默认端口范围是30000-32767:避免与Linux系统端口(0-1023)和用户端口(1024-29999)冲突。NetworkPolicy的隐藏影响:即使没有显式定义NetworkPolicy,某些CNI插件(如Calico)的默认拒绝策略也可能阻断流量。
紧急!!k8s集群ClusterIp:NodePort无法外部访问!!!
ytbcc的博客
01-25 1001
k8s集群ClusterIp:NodePort无法外部访问
解决k8s 外网无法访问nodePort问题-yellowcong
05-30 1万+
部署玩k8s后,自动部署了一个java的web项目,然后本地访问都好使,就是外部访问,就是不好使,搞了半天,后来发现了,由于k8s的的iptables导致的,设置转发,即可解决这个问题。 iptables -P FORWARD ACCEPT ...
k8s nodeport无法访问_k8s系列教程二:极速入门
weixin_39912163的博客
11-28 1790
作者:潘吉祥 | 转载请注明来源环境准备1. centOS-7(虚拟机或物理机均可)2. 关闭防火墙,更新源systemctl disable firewalld #禁用防火墙systemctl stop firewalld #关闭防火墙yum update #更新yum源3.安装etcd和kubernetesetcd作为kubernetes的信息保存中心,相当于我们熟知的zookeeper。这里...
怎么确认prometheus web ui是否安装
最新发布
06-06
集群外部访问测试如果PrometheusService是NodePort类型,那么可以通过任意节点的IP和NodePort端口访问。例如,如果节点IP为192.168.1.100,NodePort端口为30900,则在浏览器中访问:```...
K8s: Prometheus 监控主机 和 K8s 集群
Wang的专栏
04-29 937
搭建 Prometheus 创建对应 ServiceAccount 达成角色访问的目的,避免所有人都能看到 创建配置相关的 configmap 定义了一堆的任务,收集各个层面的监控数据 创建告警规则相关的configmap 比如内存大于 75% 就加入一些标签 并且可以出发一些事件 创建Prometheus的缺省用户及密码 缺省用户/密码为admin/admin: echo “YWRtaW4=” | base64 -D
prometheus启动后公网无法访问
m0_63693024的博客
03-14 3633
1.查看本地防火墙是否开放prometheus.yml文件中设置的端口。 /sbin/iptables -L -n 可以看到本地防火墙端口已经开放9090prometheus默认端口,但此时使用tcping依然无法ping通该端口。 2.索性我就把防火墙都关掉进行尝试 systemctl stop firewalld.service 3.此时看到还是tcping还是无法ping通该端口。就不关服务器什么设置关系了,然后想到阿里云的安全策略,于是才想到阿里云的安全组策略开放端口的问题,于是把.
设置nodeports后外网无法访问问题
Black Winds的专栏
06-11 1671
Kubernetes权威指南第一章的第一个democurl可以访问,但是外网无法访问。一开始就关闭firewalld,还是外网无法访问。定位了很久,发现,是centos问题。 先打开firewalld,把30001端口放开,然后关闭firewalld,这时候,外网就能访问了。...
记一次k8s service设置nodeport访问外网失败案例
qq_45034687的博客
11-07 1601
今天有一个项目做service nodeport转发,结果设置完之后发现外网访问失败。curl: (7) Failed connect to 192.168.213.138:31234; Connection refused
NodePort 只能在node节点上访问外部无法访问
weixin_30314793的博客
04-21 1750
创建了一个NodePort类型的jenkins service,node port 30000,node节点ip为192.168.56.101, 在node节点上通过浏览器能正常访问http://192.168.56.101:30000, 但是局域网通过另一台机器却不能访问,机器互通是没问题的(能ping通也没有防火墙),另外同时映射container的hostPort(30001),是能访问h...
master节点上的nodeport端口不通(k8s踩坑)
MssGuo的博客
01-03 8114
创建了一个nodeport类型的service,端口是80,按道理来说会在每个节点上开启80端口,但是发现master节点上没有开启80端口,node1、node2上均开启了80端口。等方式查看service开启的nodeport端口了,但是我们可以使用telnet命令进行测试。排查防火墙selinux,都是关闭状态的。
k8s master不能访问NodePort端口,但可以访问node节点的NodePort端口。
zixuan_zhao的博客
07-15 7681
master不能访问NodePort端口,但可以访问node节点的NodePort端口的解决。
K8S NodePort无法访问MySQL
smokelee的博客
02-21 2291
K8s单机部署填坑 1. 设置Docker存储路径 1.13.1 或者其它版本开始,要设置daemon.json的字段为“graph”,较早版本“data-root” { "registry-mirrors":["http://hub-mirror.c.163.com"], "graph":"/data/docker" } 2. kubectl create -f yaml后一直Contai...
kubernetes踩坑:nodePort拒绝访问的问题
热门推荐
JinchaoLv的博客
03-26 2万+
(1)找到pod所在节点,从pod所在k8s节点上通过{nodeIp}:{nodePort}访问,如果访问不了,可能是pod或service没有成功部署; (2)从其它node节点通过{nodeIp}:{nodePort}访问,如果不能访问,执行 kubectl describe pod {podName} -n={namespace} 查看pod描述信息,找到pod ip,直接对着pod访问{...
K8S部署KAFKA,开启了SALA认证,设置nodeport外部访问
03-22
<think>嗯,用户想在Kubernetes上部署Kafka,并且需要启用SALA认证,同时还要配置NodePort以便外部访问。首先,我得确认用户提到的“SALA认证”是否正确,可能是拼写错误,通常Kafka使用的是SASL认证。所以可能需要先澄清这一点,但考虑到用户可能打错了,这里假设是SASL。 接下来,我需要回忆Kafka在Kubernetes上的部署方式。通常会用StatefulSet来管理Kafka的Pod,因为Kafka是有状态的应用,需要稳定的网络标识和持久化存储。然后,认证部分,SASL需要配置Kafka的broker,可能还需要Zookeeper的认证,不过现在新版本的Kafka可能已经不需要Zookeeper了?比如Kafka 2.8之后移除了Zookeeper,但用户可能还在使用旧版本,所以可能需要同时处理Zookeeper的部署和认证。 然后,SASL认证有多种机制,比如PLAIN、SCRAM等,用户可能需要生成相应的用户和密码,并创建Kubernetes Secret来存储这些凭证。同时,Kafka的配置文件需要启用SASL,并指定机制。可能需要为每个broker配置监听器,包括内部和外部访问的配置,因为NodePort会暴露节点端口,外部客户端需要通过这个端口访问,而内部通信可能使用其他端口。 关于NodePort的配置,用户需要Service的类型为NodePort,并且指定端口映射。这里需要注意的是,Kafka通常使用9092端口,但NodePort会映射到一个高位端口(30000-32767),所以外部访问时需要指定这个NodePort。同时,如果启用了SASL,客户端也需要配置相应的认证信息,比如用户名、密码和协议。 另外,安全性方面,可能需要考虑TLS加密,但用户的问题中没有提到,所以可能暂时不需要配置,但最好在回答中提到可选步骤。存储方面,需要确保StatefulSet使用持久卷来保存数据,避免Pod重启后数据丢失。 然后,应用案例部分可能需要提供一个测试方法,比如使用kafkacat或者Kafka客户端进行验证,确保消息可以生产和消费。同时,需要检查NodePort是否正确暴露,并且网络策略允许外部流量进入集群的节点端口。 可能遇到的问题包括:SASL配置错误导致broker启动失败,NodePort端口未开放导致外部无法访问,或者客户端配置不正确无法通过认证。需要确保所有步骤中的配置文件正确,Secret正确挂载,以及Service配置正确。 最后,生成相关问题时要覆盖部署的其他方面,比如监控、性能优化、高可用配置,以及与其他服务的集成,比如Prometheus监控或者与数据库的联动。</think>### 在Kubernetes中部署Kafka并配置SASL认证与NodePort外部访问 #### 一、部署Kafka基础环境 1. **创建命名空间与存储配置** ```yaml apiVersion: v1 kind: Namespace metadata: name: kafka --- apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: kafka-storage provisioner: rancher.io/local-path volumeBindingMode: WaitForFirstConsumer ``` 2. **使用StatefulSet部署Kafka** ```yaml apiVersion: apps/v1 kind: StatefulSet metadata: name: kafka namespace: kafka spec: serviceName: kafka-headless replicas: 3 selector: matchLabels: app: kafka template: metadata: labels: app: kafka spec: containers: - name: kafka image: bitnami/kafka:3.4.0 env: - name: KAFKA_CFG_LISTENERS value: "SASL_PLAINTEXT://:9092" - name: KAFKA_CFG_ADVERTISED_LISTENERS value: "SASL_PLAINTEXT://$(POD_NAME).kafka-headless.kafka.svc.cluster.local:9092" volumeMounts: - name: data mountPath: /bitnami/kafka volumeClaimTemplates: - metadata: name: data spec: storageClassName: kafka-storage accessModes: ["ReadWriteOnce"] resources: requests: storage: 10Gi ``` #### 二、配置SASL认证 1. **创建认证凭证Secret** ```bash kubectl create secret generic kafka-sasl-secret --namespace=kafka \ --from-file=client-passwords=./kafka_users_jaas.conf ``` 2. **修改Kafka环境变量** ```yaml env: - name: KAFKA_CFG_SASL_ENABLED_MECHANISMS value: "PLAIN" - name: KAFKA_CLIENT_USERS value: "admin,user" - name: KAFKA_CLIENT_PASSWORDS value: "admin-secret,user-secret" - name: KAFKA_OPTS value: "-Djava.security.auth.login.config=/opt/bitnami/kafka/config/kafka_jaas.conf" ``` #### 三、配置NodePort外部访问 1. **创建NodePort Service** ```yaml apiVersion: v1 kind: Service metadata: name: kafka-external namespace: kafka spec: type: NodePort ports: - name: sasl port: 9092 targetPort: 9092 nodePort: 31092 selector: app: kafka ``` 2. **验证端口开放状态** ```bash kubectl get svc -n kafka # 输出应包含: # kafka-external NodePort 10.98.45.12 <none> 9092:31092/TCP ``` #### 四、客户端连接验证 ```bash kafkacat -b <NODE_IP>:31092 -X security.protocol=SASL_PLAINTEXT \ -X sasl.mechanism=PLAIN -X sasl.username=admin -X sasl.password=admin-secret -L ``` ### 关键配置说明 1. **SASL认证机制**:使用PLAIN认证时需注意明文传输风险,生产环境建议结合SSL加密[^1] 2. **NodePort限制**:Kubernetes默认NodePort范围为30000-32767,需确保端口未被占用[^2] 3. **网络策略**:需配置NetworkPolicy允许外部流量进入 ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: kafka-external-access namespace: kafka spec: podSelector: matchLabels: app: kafka ingress: - ports: - protocol: TCP port: 9092 ``` ### 典型应用场景 - **物联网数据管道**:通过NodePort暴露Kafka服务接收设备数据 - **跨集群数据同步**:配置SASL认证保障跨集群通信安全 - **混合云架构**:结合云服务商的负载均衡器实现高可用访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值