我是 Kubernetes 的新手,我正在努力在新的 Kubernetes 集群中部署应用程序。
目前,正在运行的服务有多个 Pod 需要相互通信。我正在寻找一种通用的方法来调试问题,而不是进入服务的指定,因为问题会变得过于具体。
集群中的 pod 抛出错误:err="Get \"http://testpod.mynamespace.svc.cluster.local:8080/": dial tcp 10.10.80.100:8080: connect: connection refused"
两个 Pod 都在同一个集群中。
调试此问题的最佳步骤是什么?
我试过运行:kubectl exec -it testpod --namespace mynamespace -- cat /etc/resolv.conf
这将返回:search mynamespace.svc.cluster.local svc.cluster.local cluster.local us-east-2.compute.internal
我在这里找到的:https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/
最佳答案
首先,以下模式:
my-svc.my-namespace.svc.cluster-domain.example
仅适用于 FQDNs of Services ,不是 Pods具有以下形式:pod-ip-address.my-namespace.pod.cluster-domain.example
例如。:172-17-0-3.default.pod.cluster.local
因此,实际上您正在查询有关 Service
的 FQDN 的集群 dns命名 testpod
而不是关于 Pod
的 FQDN .从已经成功解决来看,如Service
已经存在于您的集群中,但很可能是配置错误。您收到错误消息 connection refused
的事实可能意味着以下内容:Service
FQDN testpod.mynamespace.svc.cluster.local
已经成功解决(否则你会收到类似
curl: (6) Could not resolve host: testpod.default.svc.cluster.local
的信息) testpod
Service
(否则,即如果它存在但没有监听 8080
端口,则您正在尝试连接,您将收到 timeout
例如 curl: (7) Failed to connect to testpod.default.svc.cluster.local port 8080: Connection timed out
)Pod
, 由 testpod
曝光Service
(您已被 testpod
Service
成功重定向到它)Pod
,您正在尝试连接到不正确的端口,这就是服务器拒绝连接的原因 我最好的猜测是您的
Pod
实际上监听不同的端口,比如 80
但是你通过 ClusterIP
暴露了它Service
通过仅指定 --port
值(value),例如经过:kubectl expose pod testpod --port=8080
在这种情况下,--port
( Service
的端口)和 --targetPort
( Pod
的端口)将具有相同的值。换句话说,您已经创建了一个 Service
像下面的一个:apiVersion: v1
kind: Service
metadata:
name: testpod
spec:
ports:
- protocol: TCP
port: 8080
targetPort: 8080
你可能应该以这种方式暴露它:kubectl expose pod testpod --port=8080 --targetPort=80
或使用以下 yaml list :apiVersion: v1
kind: Service
metadata:
name: testpod
spec:
ports:
- protocol: TCP
port: 8080
targetPort: 80
当然是你的 targetPort
可能不同于 80
,但是 connection refused
在这种情况下只能意味着一件事:目标 http 服务器(在 Pod
中运行)拒绝连接到 8080
端口(很可能是因为它没有监听它)。您没有指定您使用的是什么图像,是否是标准的 nginx
网络服务器或基于您的自定义图像的东西。但如果是 nginx
并且没有以不同的方式配置它监听端口 80
.如需进一步调试,您可以附加到您的
Pod
:kubectl exec -it testpod --namespace mynamespace -- /bin/sh
如果 netstat
命令不存在(最可能的情况)运行:apt update && apt install net-tools
然后检查 netstat -ntlp
您的容器在哪个端口上监听。我希望这可以帮助您解决您的问题。如有任何疑问,请随时提出。
关于kubernetes - 同一集群中 Kubernetes pod 之间的连接被拒绝,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65725124/