k8s集群pod直接无法ping通

简介基于OpenStack云主机搭建的k8s集群，网络CNI选用的calico，使用的是BGP模式，pod直接无法ping通，宿主机也无法ping通pod。排除后不是安全组的原因，应该是OpenStack的网卡默认会丢掉非本网卡ip地址的包，导致网卡无法转发。解决方案使用calico的IPIP模式关闭网卡(port)安全检查openstack port set --no-security-grou

天已青色等烟雨来

5656人浏览 · 2020-12-01 10:37:11

天已青色等烟雨来 · 2020-12-01 10:37:11 发布

简介

基于OpenStack云主机搭建的k8s集群，网络CNI选用的calico，使用的是BGP模式，pod直接无法ping通，宿主机也无法ping通pod。
排除后发现不是安全组的原因，应该是OpenStack的网卡默认会丢掉非本网卡ip地址的包，导致网卡无法转发。

解决方案

使用calico的IPIP模式
关闭网卡(port)安全检查

openstack port set --no-security-group  e0d5c005-0297-4878-8470-e509e9890835
openstack port set --disable-port-security  e0d5c005-0297-4878-8470-e509e9890835

参考

https://blog.csdn.net/x356982611/article/details/110423370
https://github.com/projectcalico/calico/issues/2082
https://blog.csdn.net/fyggzb/article/details/53889492
https://www.packetflow.co.uk/openstack-neutron-port-security-explained/
https://www.cloudqubes.com/hands-on/openstack/openstack-port-security/
https://www.oreilly.com/library/view/learning-openstack-networking/9781788392495/14671514-a976-495c-a679-eb54a6d82163.xhtml
https://wiki.openstack.org/wiki/Neutron/ML2PortSecurityExtensionDriver
https://docs.projectcalico.org/maintenance/troubleshoot/troubleshooting

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub