calico支持cross-subnet模式

最新推荐文章于 2025-03-05 19:31:51 发布
最新推荐文章于 2025-03-05 19:31:51 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: k8s 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/smr767155671/article/details/118086351
版权
博客讲述了在Kubernetes环境中,由于apiserver绑定默认路由的网卡导致跨网段Calico节点无法启动的问题。排查过程中发现IPVS连接存在异常,通过修改apiserver的启动参数`--advertise-address`来指定正确的IP地址,从而解决了问题。同时提到了 IPPool 中的 `ipipMode` 设为 `CrossSubnet` 对于跨网段通信的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在ippool里将ipipMode改成CrossSubnet即可

[root@shen-master150 calico]# kubectl get ippool -o yaml
apiVersion: v1
items:
- apiVersion: crd.projectcalico.org/v1
  kind: IPPool
  metadata:
    annotations:
      projectcalico.org/metadata: '{"uid":"5150aaef-11c2-4928-a852-6e9bdacbf51a","creationTimestamp":"2020-07-22T02:32:12Z"}'
    creationTimestamp: "2020-07-22T02:32:12Z"
    generation: 2
    name: default-ipv4-ippool
    resourceVersion: "1685668"
    selfLink: /apis/crd.projectcalico.org/v1/ippools/default-ipv4-ippool
    uid: 2b0cc4b2-5035-43a0-81ba-fc4ee58cc794
  spec:
    blockSize: 26
    cidr: 172.56.0.0/16
    ipipMode: CrossSubnet
    natOutgoing: true
    nodeSelector: all()
    vxlanMode: Never
kind: List
metadata:
  resourceVersion: ""
  selfLink: ""

遇到的坑:

如果宿主机有多张网卡,apiserver在启动的时候会绑定有默认路由的那张网卡,可能导致跨网段节点在启动calico node容器时,因访问不到kubernetes这个svc而起不来。

排查过程(结果已修改):

    查看svc的endpoint:

[root@shen-master150 manifests]# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   172.56.0.1   <none>        443/TCP   67m
[root@shen-master150 manifests]# kubectl get ep kubernetes
NAME         ENDPOINTS            AGE
kubernetes   10.19.161.150:6443   67m

    查看ipvs情况:

[root@shen-master150 manifests]# ipvsadm -lnc
IPVS connection entries
pro expire state       source             virtual            destination
TCP 14:59  ESTABLISHED 172.56.0.1:52640   172.56.0.1:443     10.19.161.150:6443
TCP 14:59  ESTABLISHED 172.56.0.1:52642   172.56.0.1:443     10.19.161.150:6443
TCP 14:59  ESTABLISHED 172.56.196.2:43842 172.56.0.1:443     192.168.122.150:6443

解决方法:

修改apiserver启动参数:

修改部分:

--advertise-address=10.19.161.150

[root@shen-master150 calico]# cd /etc/kubernetes/manifests/
[root@shen-master150 manifests]# cat kube-apiserver.yaml 
apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=10.19.161.150
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-servers=http://10.19.161.150:2379,http://10.19.161.151:2379,http://10.19.161.152:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=172.56.0.0/13
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    image: registry.cn-hangzhou.aliyuncs.com/google_containers/kube-apiserver:v1.16.5
    imagePullPolicy: IfNotPresent
    livenessProbe:
      failureThreshold: 8
      httpGet:
        host: 10.19.161.150
        path: /healthz
        port: 6443
        scheme: HTTPS
      initialDelaySeconds: 15
      timeoutSeconds: 15
    name: kube-apiserver
    resources:
      requests:
        cpu: 250m
    volumeMounts:
    - mountPath: /etc/ssl/certs
      name: ca-certs
      readOnly: true
    - mountPath: /etc/pki
      name: etc-pki
      readOnly: true
    - mountPath: /etc/kubernetes/pki
      name: k8s-certs
      readOnly: true
  hostNetwork: true
  priorityClassName: system-cluster-critical
  volumes:
  - hostPath:
      path: /etc/ssl/certs
      type: DirectoryOrCreate
    name: ca-certs
  - hostPath:
      path: /etc/pki
      type: DirectoryOrCreate
    name: etc-pki
  - hostPath:
      path: /etc/kubernetes/pki
      type: DirectoryOrCreate
    name: k8s-certs
status: {}

 

Calico网络组件本地部署支持IPv6(Kubernetes
刘元林的博客
02-13 1008
Calico 是一个开源的网络和网络安全解决方案,专为容器、虚拟机和裸机工作负载设计。它使用 BGP(边界网关协议)来路由流量,支持多种网络模式,包括纯三层模式和覆盖网络模式。:运行在每个节点上,负责设置路由、管理 IP 地址,并通过 Felix 实现网络策略的执行。:负责节点之间的路由传播,以实现不同节点 Pod 之间的流量路由。Felix:作为 Calico 的主代理,负责监控 etcd 中存储的网络策略并将其应用于节点的网络接口,同时负责设置 IP 路由、管理 ACLs 以确保流量符合策略。
Kubernetes网络插件详解 - Calico- 概述
m0_72650596的博客
08-05 1006
Kubernetes容器网络比较复杂,需要与底层基础设施及上层业务来确定容器网络方案,同时很多网络插件又支持多种模式,需要大量的网络的基础知识支撑才能了解清楚。选择合适的CNI插件,需要综合考虑底层网络网络拓扑,结合应用需要的网络功能,以及网络路由协议的需求。Calico是比较成熟的容器网络插件,功能上比较丰富,性能上也在不断优化。...
Kubernetes Calico网络插件支持IPIP,BGP,Cross-Subnet, 其他模式多种网络模式
weixin_41123713的博客
07-26 224
Kubernetes中的Calico网络插件支持多种网络模式,这些模式主要根据网络架构和性能需求来选择。以下是Calico支持的几种主要模式:1. IPIP模式工作原理:在原有IP报文中封装一个新的IP报文,新的IP报文中将源地址IP和目的地址IP都修改为对端宿主机IP。这种模式下,流量需要通过tunl0设备封装,形成隧道...
calico 跨网段问题
discsthnew的博客
03-26 1万+
Calico 简介 Calico 是一个基于BGP协议的网络互联解决方案。它是一个纯3层的方法,使用路由来实现报文寻址和传输。 相比 flannel, ovs等SDN解决方案,Calico 避免了层叠网络带来的性能损耗。将节点当做 router ,位于节点上的 container 被当做 router 的直连设备。利用 Kernel 来实现高效的路由转发。 节点间的路由信息通过 BGP 协议在...
Calico-VxLAN Always与CrossSubnet Day03
最新发布
qq_42515722的博客
03-05 719
本章主要介绍vxlan=always、CrossSubnet两种模式下,同子网与跨子网通信的过程。
详解 Calico 三种模式(与 Fannel 网络对比学习)
叮当猫的喵i
08-04 1万+
之后「源 VTEP 设备」 —— 会将此「 Vxlan 数据包」进行「UDP封装」,其中「 Vxlan 数据包」会视为「UDP数据包的基础数据信息」通过「目的 Pod IP」—— 得知「目的 VTEP 设备的 MAC 地址」 —— 「源 VTEP 设备」根据得到的信息构建 Vxlan 数据包。”二层“通信 —— 指的是,需要维护「MAC 地址级别的信息」,即「虚拟IP」与「MAC 地址」的映射关系。之后此封装好的「UDP数据包」,将会通过三层网络,到达目的容器所在的主机的「目的VTEP设备」......
Kubernetes CNI组件Calico:IPIP工作模式
小楼一夜听春雨,深巷明朝卖杏花
03-16 5104
CNI存在的意义 为了对接第三方的网络组件,提供一种接口,实现接口逻辑的松耦合 K8s网络组件之Calico Calico是一个纯三层(基于路由的)的数据中心网络方案,Calico支持广泛的平台,包括Kubernetes、OpenStack等。 Calico 在每一个计算节点利用 Linux Kernel 实现了一个高效的虚拟路由器( vRouter) 来负责数据转发,而每个 vRouter 通过 BGP 协议负责把自己上运行的 workload 的路由信息向整个 Calico 网络内传播..
Calico 的网络结构是什么?- 每天5分钟玩转 Docker 容器技术(68)
CloudMan6的博客
09-14 1506
上一节我们部署了 Calico 网络,今天将运行容器并分析 Calico 的网络结构。
安装包-calico-3.24.1
12-25
cross-subnetCalico-ipip 模式calico-bgp 模式都有对应的局限性,对于一些主机跨子网而又无法使网络设备使用 BGP 的场景可以使用 cross-subnet 模式,实现同子网机器使用 calico-BGP 模式,跨子网机器使用 ...
calico设置IPIP模式
ccy19910925的博客
12-20 5755
Configuring IP-in-IP If your network fabric performs source/destination address checks and drops traffic when those addresses are not recognized, it may be necessary to enable IP-in-IP encapsulation ...
从零开始实现基于calico网络的k8s集群部署
热门推荐
chang_rj的博客
03-21 1万+
master服务器插件部署 wget https://github.com/projectcalico/calicoctl/releases/download/v1.1.0/calicoctl chmod +x calicoctl mv calicoctl /usr/bin/ docker pull docker.io/calico/node:v1.1.0 docker tag docker....
Calico网络选项选择
whz-emm的博客
11-16 1527
概念 了解 Calico 支持的不同网络选项,以便可以根据需要选择最佳选项。 Calico 灵活的模块化架构支持广泛的部署选项,因此您可以选择适合您特定环境和需求的最佳网络方法。这包括使用各种 CNI 和 IPAM 插件以及底层网络类型在非覆盖或覆盖模式下运行的能力,有或没有 BGP。 Kubernetes 网络基础知识 Kubernetes 网络模型定义了一个“扁平”网络,其中: 每个 pod 都有自己的 IP 地址。 任何节点上的 Pod 都可以在没有 NAT 的情况下与所有其他节点上的所有
Calico 网络插件运维完全指南
云原生实验室
07-20 2164
适用范围本文档测试范围:软件版本Kubernetesv1.14.x,v1.15.x,v1.16.xcalicov3.13.4概述Calico 是一种开源网络和网络安全解决方案,适用于容器,...
k8s----网络通信机制(calico-IPIP,fiannel-VXLAN)caclicoctl命令
weixin_45697293的博客
08-20 2246
calico 默认部署为 CrossSubnet,此种模式在部署完成后,有可能造成节点之间无法正常通行,如果已经确定部署模式为 IPIP 模式,可以在部署前将 CALICO_IPV4POOL_IPIP=“CrossSubnet”,修改为。,Pod中从网卡eth0发出的流量都会发送到Cni0网桥设备的端口(网卡)上,Cni0 设备获得的ip地 址是该节点分配到的网段的第一个地址。,但是会存在安全性问题,其在内核内置,可以通过Calico的配置文件设置是否启用IPIP,在公司内部如果k8s的node节点。
Kubernetes 网络插件 Calico 完全运维指南
君逍遥o
09-04 1865
Calico 是一种开源网络和网络安全解决方案,适用于容器,虚拟机和基于主机的本机工作负载。Calico 支持广泛的平台,包括 Kubernetes,docker,OpenStack 和裸机服务。Calico 后端支持多种网络模式
Kubernetes部署篇:calico两种网络模式
东城绝神
12-06 6268
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
calico 理论篇和使用篇以及完全二进制安装
码农崛起
12-16 2867
目前使用较多的网络插件有 flannel,calico,wear,canel等,但是如果对比以上几种网络插件的性能,还是calico最受欢迎。 简单来说,实现docker跨主机容器间通信,常用的第三方网络方案是Flannel,Weave,Calico:Flannel会为每个host分配一个subnet,容器从这个subnet中分配ip,这些ip可以在host间路由,容器间无需NAT和port mapping转发就可以实现跨主机通信。Flannel网络没有提供Docker DNS服务, 容器间不能通过.
容器网络——从CNI到Calico
weixin_33756418的博客
11-20 1374
从容器诞生开始,存储和网络这两个话题就一直为大家津津乐道。我们今天这个环境下讲网络这个问题,其实是因为容器对网络的需求,和传统物理、虚拟环境对网络环境需求是有差别的,主要面临以下两个问题: 过去IaaS层在网络方便做了很多工作,已经形成了成熟的环境,如果和容器环境适配,两边都需要做很多改造 容器时代提倡微服务,导致容器的粒度之小,离散程度之大,原有IaaS层网络解决方案很难...
calico-kube-controllers pending
12-24
calico-kube-controllers pending表示calico-kube-controllers正在等待处理中。这可能是因为系统资源不足、网络连接问题或者其他未知的原因导致。要解决这个问题,可以尝试以下几种方法:首先,可以检查系统的资源利用情况,确保系统有足够的内存和CPU可用来处理calico-kube-controllers的请求。其次,可以尝试重新启动calico-kube-controllers服务,看是否能够解决问题。另外,也可以检查网络连接是否正常,确保calico-kube-controllers能够正常地访问其他组件和服务。最后,如果以上方法都无法解决问题,可以尝试更新calico-kube-controllers到最新版本,或者查看官方文档寻求帮助。总之,要解决calico-kube-controllers pending的问题,需要仔细排查可能的原因,并逐一尝试解决方法,直到问题得以解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值