Re: Kubernetes, virtuelle Netzwerke und ein DNS Problem (vmtl. Iptables)

[Klaus Fuerstberger <linuxbox@arcor.de>]

Hallo Jan,

Am 26.12.19 um 00:16 schrieb Jan Kohnert:
> Das ist mir eben nicht so klar. Der DNS lauscht auch auf TCP Port 53 (auch 
> wenn die Anfragen selbst natürlich über UDP gehen), so dass ein telnet zur 
> Prüfung eigentlich gehen müsste. 

Ja, TCP Port 53 wird verwendet, wenn die Pakete zu groß sind für UDP,
z.B. für DNSSEC oder Zonentransfers. Alles ok, also.

> Mir ging es hier darum, dass offensichtlich irgendetwas die Pakete DROPt, was 
> das "no route to host" erklären würde. Vermutlich sind es die Iptables-Regeln, 
> die libvirt einführt, um das Networking für den Gast zu machen. Insgesamt sind 
> es schon ziemlich viele Ebenen: Der Host mit Verbindung nach draußen, KVM/
> LibVirt mit dem Gast und dem Gastnetzwerk (192.168.122.0), auf allen beiden 
> noch Docker mit dem jeweiligen Docker-Netz (172.17.0.0) und schließlich 
> Kubernetes obendrauf mit Service (10.96.0.0) und Pod (10.244.0.0) Netz. 

Ein komplexes Setup, ohne Zweifel.

> Ebenso wie oben nur ein Beispiel, um den Unterschied deutlich zu machen. Das 
> Problem der Sache ist, das die Kubernetes-Sachen komplett in Docker-Containern 
> laufen. Ich komme da zwar mittels docker exec rein, habe aber nur die 
> Kommandos, die in den Containern verfügbar sind. Im coredns-Container sind 
> weder iptables noch eine Shell verfügbar. Der machen also definitiv keine 
> eigenen Regeln. Allerdings gibt es noch die Docker-Iptables Regeln. Die sehen 
> auf Master und Worker, soweit ich das beurteilen kann, identisch aus.
> 
> Iptables-Regeln:

Ich sehe auf der VM, sowie auf dem Master keine Pakete für die Targets
REJECT oder DROP. Also kann hier nicht das Problem liegen.

Doch eher ein Routing Problem? Vielleicht kannst Du ja mit tcpdump
nachsehen, was an welchem Interface auf den verschiedenen Maschinen
ankommt, wenn Du den nslookup versuchst.

Klaus