kubernetes-networkpolicies网络策略问题
问题描述
重点重点重点,查看我的博客CKA考题,里面能找到解决方法
1.部署prometheus监控的时候,都部署成功,但是web访问503-504超时
2.添加ingress的时候也是访问不到,其他命名空间pod是可以通信
3.拉取的prometheus.yaml里面有networkpolicies.yaml是管理集群通信的
总结
我切换成nodeport暴漏方式,想去访问grafana页面,但是没有在宿主机上面发现暴漏端口,这里上网查看相关文档,k8s创建nodeport会在所有node节点暴漏端口,有一种网络策略他是不显示出来,你去ping 或者tlenet 端口 都是通的,当有服务去访问的时候,他会通过iptables规则去转发到对应的端口。
解决方法
1.首先查看pod通信问题,其他节点访问这个pod网络
ping 10.244.201.239#测试其他节点pod能不能通信
2.查看部署yaml是不是有networkpolicies网络策略yaml文件
root@k8s-master01:~/test/prometheus/kube-prometheus-0.13.0/manifests# find . -name "*networkPolicy.yaml"
./prometheusOperator-networkPolicy.yaml
./blackboxExporter-networkPolicy.yaml
./prometheusAdapter-networkPolicy.yaml
./kubeStateMetrics-networkPolicy.yaml
./grafana-networkPolicy.yaml
./prometheus-networkPolicy.yaml
./alertmanager-networkPolicy.yaml
./nodeExporter-networkPolicy.yaml#上面这些都是有网络策略的文件
3.查看networkpolicies
root@k8s-master01:~/test/prometheus/kube-prometheus-0.13.0/manifests# kubectl get networkpolicies -A
NAMESPACE NAME POD-SELECTOR AGE
monitoring blackbox-exporter app.kubernetes.io/component=exporter,app.kubernetes.io/name=blackbox-exporter,app.kubernetes.io/part-of=kube-prometheus 6h13m
monitoring kube-state-metrics app.kubernetes.io/component=exporter,app.kubernetes.io/name=kube-state- 6h13m
![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5C%E8%89%BE%E5%85%8B%5CAp
4.确认问题点,首先设置节点不可调度,在相同命名空间下创建pod,看看能不能访问
kubectl cordon master #设置节点不可调度kubectl create deployment nginx --image=nginx -n monitoring #测试成功就是网络策略问题
5.解决问题
通过yaml删除networkpolicies也可以直接删除networkpolicy也可以
# kubectl delete networkpolicy blackbox-exporter -n monitoring
networkpolicy.networking.k8s.io "blackbox-exporter" deleted
配置ingress-grafana,添加注解
详解,grafana本身自己302又跳了一下
nginx.ingress.kubernetes.io/auth-always-set-cookie:设置身份验证请求返回的 cookie。默认情况下,仅当上游报告代码为 200、201、204、206、301、302、303、304、307 或 308 时,才会设置 cookie。<Boolean_Flag>此注释允许您返回时间重定向(返回代码 302),而不是向上游发送数据。例如,将所有内容重定向到 Google,返回代码为 302(暂时移动)nginx.ingress.kubernetes.io/temporal-redirect:
ACK配置
新方法:
修改grafana.ini文件的yaml文件
grafana.ini: |[server]domain: daxinxindahaohao.cnroot_url: http://daxinxindahaohao.cn/grafanaserve_from_sub_path: true[auth.anonymous]enabled: trueorg_role: Viewer
重启pod,记得重启pod
阿里云ingress配置
参考文档
[https://www.cnblogs.com/daniel-hutao/p/18041793/k8s_ingress_debug#%E7%AC%AC-2-%E5%85%B3%E5%BA%94%E7%94%A8%E8%BF%94%E5%9B%9E-302%E9%87%8D%E5%AE%9A%E5%90%91%E5%88%B0-%E5%BC%95%E5%85%A5-503-%E9%94%99%E8%AF%AF]:
官网
[https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#temporal-redirect]:
//kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#temporal-redirect]: