麒麟V10安装rke2 pod无法访问SVC端口

Rancher 2.x
1

Rancher Server 设置

  • Rancher 版本:v2.7.9

  • 安装选项 (Docker install/Helm Chart):

    • 如果是 Helm Chart 安装,需要提供 Local 集群的类型(RKE1, RKE2, k3s, EKS, 等)和版本:

  • 在线或离线部署:离线部署

  • 服务器为虚拟机,底层平台为openstack

下游集群信息

  • Kubernetes 版本: v1.26.2
  • Cluster Type (Local/Downstream):
    • 如果 Downstream,是什么类型的集群?(自定义/导入或为托管 等): 导入

用户信息

  • 登录用户的角色是什么? (管理员/集群所有者/集群成员/项目所有者/项目成员/自定义):
    • 如果自定义,自定义权限集:

主机操作系统:

  • 麒麟v10 SP1
  • 内核:4.19.90-25.42.v2101.ky10.x86_64

问题描述:
在pod上无法访问svc的IP和端口
在宿主机上也无法ping通svc的ip,但是能telnet通对应的端口

重现步骤:

结果:

预期结果:

截图:

image
image738×330 82.9 KB

image

image
image1920×641 164 KB

其他上下文信息:

日志
2

svc 是一个虚拟IP,是通过 iptables 转发的,是禁止 ping 的

3

正常pod需要访问到svc的端口,这个无法访问这样的话就无法进行DNS解析了?

4

哪有你这样测试的,svc 禁止 ping,而且,53 是 udp 端口,你也不能通过 telnet去验证啊

5

你好,可是我在busybox的pod的里使用nslookup也无法解析域名啊
image

6

那估计就是网络问题了呗,我对麒麟 V10 不熟悉,如果是我,我会先确认下 coredns 是否启动,然后看看 svc-ep 的对应关系,是否这个 svc ip 会link 到 coredns 的 pod。

然后再看看跨主机之间的网络是否有安全组后者防火墙导致。

7

我有怀疑是kube-proxy的问题,根据那个我有查询到一个 kube-proxy cannot support IPVS with default RKE configuration的issues,但是我不敢确定是否是这个问题,然后这套集群主机间没有安全组是全放通