iptables REDIRECT către Kubernetes NodePort cauzează blocarea cererii

tiger_groove

31.07.2023, 19:47

Încerc să direcționez traficul clientului către un cluster Kubernetes NodePort care ascultă pe 192.168.1.100.30000 (port https).

Clientul trebuie să facă o solicitare la 192.168.1.100.8000, așa că am adăugat următoarea regulă REDIRECT în iptables:

iptables -t nat -I PREROUTING -p tcp --dst 192.168.1.100 --dport 8000 -j REDIRECT --la-port 30000
iptables -t nat -I IEȘIRE -d 192.168.1.100 -p tcp --dport 8000 -j REDIRECT --la-port 30000

Totuși, primesc următoarea eroare:

# curl -vk https://192.168.1.100:8000/v1/api
* Urmează să se conecteze() la portul 192.168.1.100 8000 (#0)
* Se încearcă 192.168.1.100...
* Conectat la 192.168.1.100 (192.168.1.100) portul 8000 (#0)
* Inițializarea NSS cu certpath: sql:/etc/pki/nssdb
* Eroare NSS -12263 (SSL_ERROR_RX_RECORD_TOO_LONG)
* SSL a primit o înregistrare care a depășit lungimea maximă permisă.
* Închiderea conexiunii 0
curl: (35) SSL a primit o înregistrare care a depășit lungimea maximă permisă.

a încercat de asemenea să configureze sistemul de la distanță indicat în acest răspundeți și faceți o solicitare către același punct final și am primit următoarea eroare:

# ip netns exec remotesystem curl -vk https://192.168.1.100:8000/v1/api
* Urmează să se conecteze() la portul 192.168.1.100 8000 (#0)
* Se încearcă 192.168.1.100...
* Conexiunea a expirat
* Conectarea eșuată la 192.168.1.100:8000; Conexiunea a expirat
* Închiderea conexiunii 0
curl: (7) Conectarea eșuată la 192.168.1.100:8000; Conexiunea a expirat

Știu că cluster-ul kubernetes are politici de rețea aplicate cu calico crds, cu toate acestea, am adăugat o opțiune implicită de a permite totul la politica de rețea, iar traficul pare să fie încă blocat.

De asemenea, am verificat jurnalele controlerului de intrare pentru a vedea dacă cererea a ajuns acolo, dar nu am văzut niciun jurnal de ieșire la efectuarea cererii.

Lucrul ciudat este curling direct portul nodului https://192.168.1.100.30000/v1/api funcționează și primesc un răspuns de succes înapoi.

Întrebarea este, de ce se curling https://192.168.1.100:8000/v1/api (cu regula REDIRECT la 30000) cauzează suspendarea cererii?

0 + 0

kubernetes

stambă

A.B

01.08.2023, 09:54

Vezi și comentariul meu acolo: https://serverfault.com/questions/1097421/tcpdump-showing-different-redirection-port-after-adding-redirect-rule-in-iptable?noredirect=1#comment1432056_1097435

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: iptables REDIRECT to Kubernetes NodePort causes request to hang

TH: iptables REDIRECT ไปยัง Kubernetes NodePort ทำให้คำขอหยุดทำงาน

RO: iptables REDIRECT către Kubernetes NodePort cauzează blocarea cererii

RU: iptables REDIRECT на Kubernetes NodePort вызывает зависание запроса

VI: iptables REDIRECT tới Kubernetes NodePort khiến yêu cầu bị treo

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.