k8s中pod的hostport端口突然无法访问故障处理

最新推荐文章于 2025-03-18 10:24:14 发布
最新推荐文章于 2025-03-18 10:24:14 发布
阅读量1.3k 收藏 2
点赞数
文章标签: kubernetes 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44397993/article/details/134669751
版权

故障背景:
租户告知生产环境的sftp突然无法访问了,登录环境查看sftp服务运行都是正常的,访问sftp的hostport端口确实不通。

故障处理过程
既然访问不通那就先给服务做个全面检查,看看哪里出了问题,看下sftp日志,也没有啥关键报错,接下来查看了下sftp服务的svc端口,发现通过svc地址和端口是能正常访问的,通过pod IP去访问也是可以,这就很奇怪了,唯独用主机ip加hostport端口就访问不通。
尝试手段一: 跟租户沟通,看看能否重启服务试试,发现重启完服务,还是老样子,通过hostport访问依然不通。
尝试手段二: 登录到对应的sftp主机,查看sftp服务对应的iptables规则是否有啥限制或者生产的容器服务规则转发有问题,发现iptables的规则没有做啥拦截,唯一的拦截是对icmp协议的,基本不是这个问题,然后查看到iptables规则中关于sftp hostport端口转发到目的服务地址有问题,以前的pod生产转发规则还存在,那就是以前的pod删除后,iptables规则没有及时跟新删除,如下图所示有许多2022的hostport端口转发到sftp容器的22端口:
在这里插入图片描述然后尝试重启Kube-proxy使其重新加载规则看看,重启完之后查看规则确实正常了,但是请求sftp的hostport端口仍然不通。
尝试手段三: 凡是再一再二,不再三,仔细分析下,通过业务主机和hostport访问,还会涉及走PREROUTING链,看下PREROUTING如下:

1)sudo iptables -t nat -nvL PREROUTING
2)sudo iptables -t nat -nvL CNI-HOSTPORT-DNAT

在这里插入图片描述

1)sudo iptables -t nat -nvL CNI-DN-5312d803d41f87c69f67f
查看对应2022端口号的nat规则
2)sudo iptables -t nat -nvL CNI-HOSTPORT-DNAT --line-numbers 查看对应规则的序号
3)sudo iptables -t nat -D CNI-HOSTPORT-DNAT 1 删除对应规则 ,注: 确定这条规则确实以前产生没用的。

具体操作步骤如下截图:
在这里插入图片描述
删完对应规则后,sftp的hostport访问正常。可能跟升级操作系统后防火墙出现问题导致pod销毁,规则无法回收。

CSH056
关注
K8S中的hostPort、NodePort 、targetPort、port、containerPort 的区别
叱咤少帅的博客
01-06 1052
K8S中的hostPort、NodePort 、targetPort、port、containerPort 的区别
K8S系列】KubernetesPod 无法通过 Service 名称访问服务的 DNS 解析失败问题【已解决】
颜淡慕潇
10-30 1万+
Kubernetes 中,Service 提供了一种稳定的方式,通过名称访问一组 Pod。当其他 Pod 无法通过 Service 名称访问服务,并且出现 DNS 解析失败时,通常会导致应用无法正常工作。本文将详细分析此问题的常见原因及其解决方案。
K8s Pod 配置之 hostNetwork、hostPort、hostPID
Linux运维老纪的博客
02-15 1026
Kubernetes 中,了解 Pod 如何与主机系统交互对于配置高级用例和确保最佳安全性至关重要。hostNetwork、hostPort、hostPID 和 hostIPC 等功能使 Pod 能够与主机共享命名空间和资源,从而实现更大的控制和灵活性。然而,这些配置也伴随着固有的风险和权衡,必须仔细评估。 本文详细解析了这些参数,探讨了它们的功能、用例和安全影响。无论我们是优化网络性能、排查应用程序问题,还是设置复杂的调试环境,这篇短文都可以帮助您了解如何有效地利用这些主机级配置。
好家伙,hostPort 竟然劫持了我的请求
云原生实验室
08-02 493
最近排查了一个 kubernetes 中使用了 hostport 后遇到比较坑的问题,奇怪的知识又增加了。问题背景集群环境为 K8s v1.15.9,cni 指定了 flannel-vxl...
K8s网络故障排查实战:常见问题与解决方法
最新发布
wdfdgygg77的博客
03-18 543
通过熟悉常见问题的排查思路和解决方法,结合实际案例积累经验,运维人员能够在面对K8s网络故障时迅速做出响应,高效解决问题,确保K8s集群网络的稳定可靠,为业务的持续运行提供坚实保障。例如,在使用Calico作为CNI插件时,如果BGP路由配置不正确,会导致跨节点Pod无法通信。1. kubectl:通过kubectl命令可以获取K8s集群内各种资源的信息,如kubectl get pods查看Pod状态,kubectl describe pod获取Pod详细描述信息,包括网络配置、事件等,帮助排查问题。
k8s指定外部ip暴露端口访问不通问题解决
热门推荐
longtails的博客
12-21 2万+
k8s通过svc暴露端口 跟着katacoda k8s教程走,自己换了一个external-ip发现访问不了,通过ifconfig查 看,教程中的172.17.0.58,是一个配置好的网卡ip,但自己随意自定的没有网卡配置。之 所以随意指定ip,是感觉k8s划分的172.17的ip段,以为可以用,但这个ip段应该是k8s 集群pod内使用的,而要暴露的ip应该是集群pod外,不经经过p...
k8s: pod已经运行了,浏览器访问不到
qq_42532161的博客
03-18 3019
1.在虚拟机上curl 命令:curl http://192.168.11.129:30001/(后面地址是你要访问的地址) 如果访问不到,可能是安装运行的错误 可以用命令 : kubectl describe pod pod的name 这个是用来查询pod的详情,里面有提示,可以根据提示找错误,我的错误就是配置文件的镜像名写错了,浪费了一下午,重装卸载, 如果...
k8s中的端口hostPort、port、nodePort、targetPort
IChen.的博客
11-16 1136
这样的service会产生一个ClusterIP,这个IP只能在集群内部访问,要想让外部能够直接访问service,需要将service type修改为 nodePort。hostPort是直接将容器的端口与所调度的节点上的端口路由,这样用户就可以通过宿主机的IP加上来访问Pod了,需关注pod漂移策略。targetPort 说的是Pod内的应用暴露的服务端口,Service IP+Port的访问会被代理到这个Target Port。在k8s中,这是一种直接定义Pod网络的方式。
k8s故障修复:部分服务无法通过k8s集群宿主机ip+NodePort访问
qq_42063179的博客
08-05 6175
部分服务无法通过k8s集群宿主机ip+NodePort访问
解决k8s中节点之间Pod无法ping通以及Pod正常运行但k8sdashboard无法访问
Dandelin的博客
05-22 1643
pod正常运行但无法在各个节点上互相ping通 ,Pod正常运行但k8sdashboard无法访问,pod ping不通,
记一次 K8S HostPort 引发的服务故障排错指南
m0_65634190的博客
12-22 656
最近排查了一个 kubernetes 中使用了 hostport 后遇到比较坑的问题,奇怪的知识又增加了。
82、k8s的service-NodePort端口开放和生命周期
m0_74149099的博客
08-28 1661
#没加自定义命名空间,进入不了容器-------------------以上纯属看错误--------------------[root@master01 ~]# kubectl exec -it -n xy102 nginx1-654cb56c4-7plg2 bash ##自定义命令空间,需要添加命令空间,进入pod的容器NodePort:service根据标签来匹配对应的pod,只要标签匹配,都能转发到指定的pod内的容器。
k8s集群中nodePort端口不可连接问题排查
J_Lee
04-14 1万+
文章目录1.问题说明2.问题分析3.问题排查4.问题结论5.问题解决 1.问题说明 今天早上发现,k8s其中有一个服务映射的 nodePort ,在k8s集群外的同内网服务器中,两次连接该服务时,一次可连接,一次不能连接,即50%的几率可以正常连接,使用telnet测试如下: // 可正常连接 # telnet 192.168.21.202 30001 Trying 192.168.21.202... Connected to 192.168.21.202. Escape character is '^]'
k8shostport
任我行的博客
05-17 3502
NodePort 虽然可以给 pod 提供节点级别的 porxy,但是如果对于一个daemonset,采用 NodePort 方式来申明节点端口就不这么直观了,这个时候就可以使用podhostport 来直接在pod的节点上暴露端口。 apiVersion: apps/v1 kind: DaemonSet metadata: labels: app: tools-test name: tools-test spec: selector: matchLabels:
K8s Pod 无法启动!5个常见问题总结
LinkSLA的博客
05-25 3065
为了最大限度地减少 OOM 错误的可能性并优化您的 Kubernetes 环境,您可以在指定 pod 时定义容器需要多少资源,例如 CPU 和内存。此外,kubelet 对已定义的容器实施资源限制(limits),防止正在运行的容器使用超出预期的资源。不管失败的原因是什么,您都可以使用 kubectl describe pod 命令来找出 pod 失败的原因。或者,如果您为不可用的容器指定主机端口,或者该端口已在 Kubernetes 集群的所有节点中使用,则 pod 可能未就绪。
[kubernetes]-Pod无法通过 Service IP 访问自身
爷来辣的博客
03-21 6045
Pod 无法通过 Service IP 访问自身 同样的镜像 在自己环境可以跑起来,放到朋友rancher搭建的环境里就出现了pod的cluster ip+ port可以访问,但是通过service ip+port就无法访问的情况。 后来通过修改svc 模式 cluster ip 到load balance解决。具体出现这个问题的原因,没有去查证。朋友的环境是一主一从,具体环境已经无法验证了。看到...
k8s pod服务对外访问
运维那些事儿
08-16 3457
1、问题描述: 在搭建好的k8s集群内创建的容器,只能在其所在的节点上curl可访问,但是在其他任何主机上无法访问容器占用的端口 1.1、解决方案1: vim /etc/sysctl.conf 找到这一行,放开注释 # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 重...
Linux 容器出现跨界点pod不通或者同主机pod不通解决办法
博然的宝藏库
08-23 360
Wicked 根据 sysctl 配置文件(例如 /etc/sysctl.d/ 目录下)配置主机的网络设置。即使 RKE2 正在将 /net/ipv4/conf/all/forwarding 之类的参数设置为 1,但是只要重新应用网络配置(有几个事件会导致网络配置重新应用以及 rcwicked 在更新期间重启),Wicked 就可以恢复该配置。因此,在 sysctl 配置文件中启用 ipv4(和双栈情况下的 ipv6)转发非常重要。
k8s hostPort 为什么用netstat查不到
09-18
### 回答1: k8s 中的 hostPort 是通过内部实现的虚拟网络来实现的。所以,使用 netstat 命令无法查看 hostPort 端口的状态。可以使用 kubectl 命令来查看 k8s 中的端口信息。例如,可以使用以下命令查看所有 pod端口信息: ``` kubectl get pods -o wide ``` 也可以使用以下命令查看指定 pod端口信息: ``` kubectl describe pod <pod-name> ``` 其中,<pod-name> 是 pod 的名称。 ### 回答2: k8s是一种容器编排工具,它允许我们在集群中部署和管理容器化的应用程序。在k8s中,可以使用hostPort来将容器的端口映射到主机的端口上。尽管在k8s中配置了hostPort,但使用netstat命令查找主机上的端口时,可能会发现无法找到相应的端口。下面是一些可能的原因: 1. netstat仅显示本地进程监听的端口:netstat命令只能显示正在运行的本地进程监听的端口k8s使用诸如docker等容器运行时来管理容器,而这些容器运行时会在主机上创建虚拟网络接口来实现容器与主机的通信。因此,容器端口并未直接与主机上的进程绑定,而是绑定到虚拟网络接口上。 2. k8s使用iptables进行端口转发:k8s使用iptables规则来实现容器和主机之间的通信,将容器端口转发到主机上。当我们使用netstat来查询主机上的端口时,仅能查看到iptables配置中的端口映射规则,而无法直接显示容器的端口。 3. 容器和主机网络隔离:为了实现容器之间的网络隔离,k8s使用了网络命名空间的概念,每个容器都运行在独立的网络命名空间中。这意味着netstat命令在默认情况下只能查看到当前命名空间中的端口,而无法跨命名空间查找其他网络命名空间中的端口。 综上所述,使用netstat命令可能无法直接查找到k8s中使用hostPort映射的端口。此时,可以通过kubectl命令或其他k8s相关的工具来查询容器和主机之间的端口映射关系。 ### 回答3: k8s中的hostPort是一种用于将容器的端口绑定到宿主机的端口的特性。当使用hostPort时,容器的端口将映射到宿主机的某个指定端口上,以便从宿主机网络中直接访问容器。 使用hostPort绑定后,通过netstat命令在宿主机上查看网络连接时,可能无法直接找到与容器相关的端口。这是因为hostPort绑定的端口实际上是通过Linux的内核机制进行端口转发实现的。 在hostPort绑定时,宿主机的iptables规则会自动配置端口转发,将流量从宿主机的指定端口转发到容器中。这种转发是通过iptables的NAT(Network Address Translation)功能实现的。具体而言,iptables将目标IP设为宿主机自身的IP,目标端口设为容器的IP和端口,这样在netstat的输出中是不会直接看到容器相关的端口。 因此,如果使用netstat命令查看网络连接,建议使用以下命令来查找与hostPort绑定的端口转发: ```shell sudo iptables -t nat -nL ``` 以上命令将列出iptables中的NAT规则,其中可以找到与hostPort绑定的端口转发规则。可以通过查找包含宿主机的IP和相应的端口,来找到与容器相关的端口转发规则。 需要注意的是,hostPort会带来一些安全风险,因为容器直接暴露在宿主机网络上,可能会被外部网络直接访问。因此,在使用hostPort时应慎重考虑并采取适当的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值