当前位置：首页 > article >正文

K8S网络排障实录：从Calico Pod启动失败到发现kube-proxy的ipvs模式‘罢工’

article 2026/5/2 14:06:13

K8S网络排障全记录当Calico遇上罢工的IPVS那是一个再普通不过的周五下午我正在为即将上线的Kubernetes集群做最后的网络配置。Calico作为CNI插件已经部署完毕master节点一切正常但node节点上的calico-node Pod却始终无法启动。日志里赫然显示着dial tcp 10.233.64.1:443: i/o timeout——这个ClusterIP正是kube-apiserver的服务地址。看似简单的网络连通性问题却引发了一场从Calico到kube-proxy的深度排障之旅。如果你也遇到过类似问题或是正在使用CalicoIPVS的组合这篇实战记录或许能帮你少走弯路。1. 问题现象与初步诊断当node节点上的calico-node Pod反复崩溃重启时第一反应自然是查看日志。关键错误信息指向了apiserver的连接超时kubectl logs -f calico-node-jv2qv -n kube-system 2022-06-18 04:56:15.613 [INFO][9] startup/startup.go 416: Hit error connecting to datastore - retry errorGet https://10.233.64.1:443/api/v1/nodes/foo: dial tcp 10.233.64.1:443: i/o timeout基础连通性测试是排障的第一步。在node节点上执行ping 10.233.64.1 # ClusterIP可以ping通 telnet 10.233.64.1 443 # 但端口连接失败这立刻排除了底层网络问题——如果连ping都不通问题可能出在路由或网卡配置上。而现在的现象表明网络层可达但传输层出了问题。此时需要思考Kubernetes服务代理的机制ClusterIP是虚拟IP由kube-proxy负责转发我们的集群使用的是ipvs模式请求应该在node节点被ipvs规则拦截并转发到真实后端2. 深入IPVS规则分析检查ipvs规则是接下来的关键步骤ipvsadm -Ln IP Virtual Server version 1.2.1 (size4096) Prot LocalAddress:Port Scheduler Flags - RemoteAddress:Port Forward Weight ActiveConn InActConn TCP 10.233.64.1:443 rr - 180.64.10.127:6443 Masq 1 2 0规则显示443端口的请求应该被转发到master节点的6443端口apiserver真实地址。手动测试这个真实地址telnet 180.64.10.127 6443 # 连接成功这说明node到master的网络是正常的。那么问题可能出在ipvs的转发过程中。查看连接状态ipvsadm -lnc IPVS connection entries pro expire state source virtual destination TCP 00:51 SYN_RECV 10.233.64.1:35336 10.233.64.1:443 180.64.10.127:6443发现大量连接卡在SYN_RECV状态——这是典型的TCP握手未完成表现。可能的原因包括内核参数配置问题conntrack表满安全组/防火墙拦截ipvs本身bug3. 关键转折切换为iptables模式在多次尝试调整内核参数无果后我决定临时切换kube-proxy模式作为验证kubectl edit cm kube-proxy -n kube-system # 将mode: ipvs改为mode: 删除kube-proxy Pod让其重建后奇迹发生了——calico-node Pod终于启动成功进一步测试发现ping 10.233.64.1 # 不通预期内 telnet 10.233.64.1 443 # 通这才是关键这引出了一个有趣的现象iptables模式下ClusterIP不可ping但服务可访问而ipvs模式下两者都应该通。下表对比了两种模式的特点特性ipvs模式iptables模式ClusterIP可ping是否服务访问通过ipvs规则转发通过iptables规则转发规则规模适合大规模服务规则多时性能下降明显连接状态维护完整连接状态无状态典型问题偶发转发异常规则爆炸4. 根因分析与解决方案虽然切换iptables临时解决了问题但生产环境我们更希望使用ipvs——它的连接跟踪和调度算法对大规模集群更友好。经过深入排查发现问题可能与ipvs和conntrack的交互有关某些内核版本存在ipvs转发异常conntrack表未正确更新导致握手失败安全策略可能干扰了包转发最终解决方案包括以下步骤升级内核到稳定版本建议4.19调整conntrack参数sysctl -w net.netfilter.nf_conntrack_tcp_timeout_fin_wait30 sysctl -w net.netfilter.nf_conntrack_max1000000检查并优化kube-proxy配置apiVersion: kubeproxy.config.k8s.io/v1alpha1 kind: KubeProxyConfiguration mode: ipvs ipvs: strictARP: true scheduler: rr excludeCIDRs: []重启节点后ipvs模式工作正常。这次经历让我深刻认识到Kubernetes网络问题往往需要逐层剥离从Pod日志到网络策略从服务发现到代理机制。每个环节都可能成为瓶颈而系统化的排障思路比盲目尝试更重要。

K8S网络排障实录：从Calico Pod启动失败到发现kube-proxy的ipvs模式‘罢工’

相关文章：

K8S网络排障实录：从Calico Pod启动失败到发现kube-proxy的ipvs模式‘罢工’

体验报告Taotoken在多模型聚合调用下的延迟稳定性与路由容灾感受

别再到处找数据了！用Python+高德API，5分钟搞定你所在城市的餐饮/便利店POI数据

Go语言实现轻量级命令行中继工具CliRelay：原理、部署与实战

基础教程，五分钟在Python中配置Taotoken并调用第一个大模型API

告别龟速下载！用Git LFS + SSH一键搞定Hugging Face大模型（保姆级避坑指南）

从‘警告’到‘零告警’：我是如何用ESLint和Node.js配置根治Promise未处理错误的

长视频理解框架LongVideo-R1的技术解析与应用实践

嵌入式学习笔记——PWM与输入捕获（上）

别再只盯着压力表了！用分布式光纤给油气管道做个‘CT’，50公里泄漏点10米内精准定位

终极指南：如何快速修复Windows软件运行环境，告别DLL缺失错误

舵机控制避坑指南：PWM占空比算对了，为什么舵机还是抖得厉害？

别再只会用Let‘s Encrypt了：聊聊CA的那些事儿，从免费DV到企业EV证书到底怎么选？

Pytorch图像去噪实战（二十五）：多GPU训练图像去噪模型，用DDP解决训练太慢问题

文本到图像生成技术：从扩散模型到高效部署实践

5分钟掌握Visual C++运行库一站式解决方案：VisualCppRedist AIO深度解析

基于Dify构建智能对话机器人：打通IM平台与AI应用的技术实践

CompressO终极指南：5分钟掌握免费高效的视频图片压缩技巧

终极指南：gradient-checkpointing常见问题与解决方案从入门到精通

AI绘画技能库构建：基于女娲模型的提示词工程实践

3步搭建Obsidian知识库：用Zettelkasten模板实现高效知识管理

手把手教你搞定KBS投稿：Overleaf配置、文件清单与审稿回复模板分享

长沙看心理医生指南：真实案例分享与选择建议

从厨房秤到智能仓储：HX711的‘一次函数’标定法，如何用到你的物联网项目里？

GitHub_Trending/skills23/skills气象预测：辅助收集和分析气象数据

C语言存算一体调试实战手册（ARMv8-A+RISC-V双平台真机验证）

别再乱接线了！STM32CubeMX配置RS232串口通信，从原理图到代码回环测试保姆级教程

如何实现外卖订单管理的数字化转型：自动化增效解决方案提升餐饮企业30%运营效率

GitHub_Trending/skills23/skills农业应用：提升农业生产效率的智能辅助工具

构建AI助手健康监控系统：OpenClaw Guardian的设计与实现