Hallo ihr Lieben, ich erstelle hier gerade zu Testzwecken einen kleinen Kubernetes-Cluster. Auf dem Server läuft ein Gentoo mit dem Kubernetes-Master, weiterhin ist ein frisch installiertes Debian Buster in einer KVM-Umgebung verfügbar, auf dem eine Kubernetes Worker-Node läuft. Das VHost-Netzwerk ist ein 192.168.122.0/24, die Debian-VM bekommt ihre IP per DHCP vom Host, auch wollte KVM unbedingt einen dnsmasq laufen lassen. Soweit funktioniert das auch alles, die VM kann ins Internet und DNS holt sie sich über die Hist-Bridge 192.168.122.1. Kubernetes will nun jede Menge virtuelle Netzwerke. Das Pod-Netzwerk ist auf 10.255.0.0/16 eingestellt, ein Service-Netzwerk per Default auf 10.96.0.0/12. es läuft Kube-Router für die Vermittlung der ganzen Netzwerke und ein CoreDNS zur Namensauflösung in den Pods lauscht auf 10.96.0.10. Auf dem Master kann ich den DNS-Host erreichen und auf eine DNS-Anfrage wird beantwortet: --- master ~ # ping -c1 10.96.0.10 PING 10.96.0.10 (10.96.0.10) 56(84) bytes of data. 64 bytes from 10.96.0.10: icmp_seq=1 ttl=64 time=0.064 ms --- 10.96.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.064/0.064/0.064/0.000 ms master ~ # traceroute 10.96.0.10 traceroute to 10.96.0.10 (10.96.0.10), 30 hops max, 60 byte packets 1 10.96.0.10 (10.96.0.10) 0.066 ms 0.035 ms 0.031 ms master ~ # nslookup google.de 10.96.0.10 Server: 10.96.0.10 Address: 10.96.0.10#53 Non-authoritative answer: Name: google.de Address: 172.217.22.35 Name: google.de Address: 2a00:1450:4001:81b::2003 master ~ # --- Auf der VM (dort laufen ja dann auch die Pods, auf dem Master wird per Config nichts ausgeführt) klappt es hingegen nicht (auf der Maschine nicht, in den Pods auch nicht). Da ich die IP pingen kann, ist schonmal das Routing in Ordnung. Ein Test mit telnet auf einen beliegigen nicht-DNS Port bringt "connection refused", auf den DNS-Port jedoch "no route to host". Logging ist angeschaltet und sagt, dass nie eine Anfrage an die 10.96.0.10 gestellt wurde. Ich glaube daher an ein iptables-Problem. Nur finde ich nichts, was Port 53 blockiert. Hat einer eine Idee, wonach ich suchen könnte? --- root@debian-vm:~# ping -c1 10.96.0.10 PING 10.96.0.10 (10.96.0.10) 56(84) bytes of data. 64 bytes from 10.96.0.10: icmp_seq=1 ttl=64 time=0.158 ms --- 10.96.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.158/0.158/0.158/0.000 ms root@debian-vm:~# traceroute 10.96.0.10 traceroute to 10.96.0.10 (10.96.0.10), 30 hops max, 60 byte packets 1 debian-vm (10.96.0.10) 0.678 ms 0.582 ms 0.547 ms root@debian-vm:~# nslookup google.de 10.96.0.10 ;; connection timed out; no servers could be reached root@debian-vm:~# telnet 10.96.0.10 22 Trying 10.96.0.10... telnet: Unable to connect to remote host: Connection refused root@debian-vm:~# telnet 10.96.0.10 53 Trying 10.96.0.10... telnet: Unable to connect to remote host: No route to host root@debian-vm:~# telnet 10.96.0.10 80 Trying 10.96.0.10... telnet: Unable to connect to remote host: Connection refused root@debian-vm:~# --- Die iptables-Regeln liefere ich gerne nach, wenn benötigt. :) Lieben Dank, Jan
Attachment:
smime.p7s
Description: S/MIME cryptographic signature