Всем привет! Для изучения поставил kubesprey-ем кластер из одного мастера и

нескольких воркеров. Процесс на астре шел тяжело, некоторые таски приходилось править, перезапускать инсталляцию заново. Когда процесс закончился, оказалось, что одна нода в состоянии Not Ready. Кластерные службы не могут достучаться до портов мастера. Причем все другие ноды друг друга пингуют, эту больную ноду пингуют, а она никого из этого кластера не может пингануть. Хотя другие машины из этой же подсети с нее пингуются отлично. Пока пытался загнать эту машину в кластер, задолбался, решил откатиться к снэпшоту с чистой ОС и перезапустить кубспрея на этой тачке. Даже когда ОС была без любого софта и фаеров, пинг с нее на кубовые тачки не проходил.
Начал изучать правила на одном из воркеров. После удаления одного правила, через минуту-другую оно опять появилось. И тут Штирлиц начал догадываться, что правила хранятся где то в Etcd и подтягиваются автоматически. Правка на одной машине никак не поможет. Посему несколько вопросов.
1. Правила подтягиваются с мастера и раскидываются на воркеры или через какой то инструмент типа kubectl нужно управлять?
2. Через Lens эти кубовые правила фильтрации где то просматривать можно? Что то не нашел.
3. В целом, man что?

Кубеспрей говно

Коммент - говно

С кубадмом таких проблем не было

Это как то помогает понять проблему, решить вопрос? нет. Тогда к чему все это? Кластер уже поднят, осталось пофиксить одну тачку. Из-за нее я кластер сносить и переустанавливать другим инсталлятором точно не буду

Так проблема в используемом средстве, похоже)

Кубадм, кубспрей, рке и прочие разворачивают примерно один набор компонентов. Кубспрей слегка погорячился, лишнее правило докинул. Это - какая то нереальная проблема? Правила в кубе не поддаются правке?

Я нубас, но по опыту, если сильно хейтят, то не спроста. Конечно, может быть и в обратную сторону, тут только своей жепой проверять)

Это сейчас на каком языке было? Вроде слова русские, а смысл не догнал. Кто кого хейтит? Что в обратную сторону? Что жопой проверять? Трындец вообще

Кубеспрей говно

Попробуйте перечитать и подумать

Поддаются. Но чтобы не быть нубасом надо руки замарать в хард вей и в кубеадм

Ок, приму к сведению. А более конкретно по атомарным вопросам можно? Правила фильтрации в принципе меняются пользователем или один раз зашились при установке и все?

Обязательно ли проходить хард вей, что бы стать тру девопсом?)

Хотя бы раз - да

Что такое правила фильтрации ?

Правила в iptables накатывают два компонента. kube-proxy в основном пишет в nat таблицу (при условии работы kube-proxy в iptables режиме, это обычно умолчание, другой вариант ipvs), правила основываются на объектах kind: Service. В основном это nat правила. Другой компонент который может накатывать правила iptables это сетевой плагин. Правила основываются на объектах Network policy. Там может быть не iptables, а например ipset + iptables, или вообще ebpf. Другими словами реализация в плоскости сетевого плагина Также стоит отметить, что многие сетевые плагины могут заменять функции kube-proxy. И его вообще может не быть. Тогда за любые сетевые правила отвечает сетевой плагин, и всё зависит от реализации на уровне сетевого плагина

Нет. Нужно редактировать объекты куба. Сервисы, Network policy и так далее Но у вас скорее всего сломан сетевой плагин

Понял, спасибо

Для начала вам нужно понять что это за правило и откуда оно. Следовало бы его в чат скинуть, многие здесь постоянно имеют дело с кубом и могут узнать это правило и понять откуда оно

да iptables режим вроде уже не дефолт, не?

честно не знаю, у меня kube-proxy нет совсем но я думал что iptables дефолт

Я глянул статус ufw на ноде - он отключен. Сделал iptables -L и получил кучу правил. Т.е. по умолчанию iptables установился

скорее всего нет. но не суть - все равно в iptables он пишет изрядно, ipvs просто берет на себя балансировку и меняет подход к graceful termination

не, дело не в его установке/не установки. плюс iptables -L по умолчанию правила показывает таблицы filter, а туда kube-proxy практически ничего не пишет там если есть какие-то правила, то это от сетевого плагина

см выше + ufw - это морда поверх netfilter, если не поверх самого iptables.

ну раньше было умолчанием, не видел информации что это меняют. Мб кто-то подскажет?

ну он пишет в основнов в nat, с ipvs разумеется тоже, но чутка по меньше