Delen via

Verkeer tussen nodegroepen wordt geblokkeerd door een aangepaste netwerkbeveiligingsgroep

  • Artikel

In dit artikel wordt beschreven hoe u een scenario oplost waarin een aangepaste netwerkbeveiligingsgroep (NSG) verkeer tussen knooppuntgroepen in een AKS-cluster (Microsoft Azure Kubernetes Service) blokkeert.

Symptomen

De DNS-omzetting (Domain Name System) van pods van de gebruikersknooppuntgroep mislukt.

Achtergrond

In scenario's die betrekking hebben op meerdere knooppuntgroepen, kunnen de pods in de kube-system naamruimte worden geplaatst op één knooppuntgroep (de systeemknooppuntgroep) terwijl de toepassingspods worden geplaatst in een andere knooppuntgroep (de gebruikersknooppuntgroep). In sommige scenario's kunnen pods die met elkaar communiceren zich in verschillende knooppuntgroepen bevinden.

Met AKS kunnen klanten knooppuntgroepen in verschillende subnetten hebben. Deze functie betekent dat klanten ook verschillende NSG's kunnen koppelen aan het subnet van elke knooppuntgroep.

Oorzaak 1: De NSG van een knooppuntgroep blokkeert inkomend verkeer

Binnenkomende toegang op de NSG van een knooppuntgroep blokkeert verkeer. Een aangepaste NSG in de systeemknooppuntgroep (die als host fungeert voor de dns-kernpods) blokkeert bijvoorbeeld inkomend verkeer op UDP-poort 53 (User Datagram Protocol) vanuit het subnet van de gebruikersknooppuntgroep.

Diagram van een aangepaste netwerkbeveiligingsgroep die binnenkomend verkeer blokkeert op UDP-poort 53 in de gebruikersknooppuntgroep van een Azure Kubernetes Service-cluster.

Oplossing 1: De aangepaste NSG configureren om verkeer tussen de knooppuntgroepen toe te staan

Zorg ervoor dat uw aangepaste NSG het vereiste verkeer tussen de knooppuntgroepen toestaat, met name op UDP-poort 53. AKS werkt de aangepaste NSG die is gekoppeld aan subnetten niet bij.

Oorzaak 2: Uitgaande toegang op de NSG van een knooppuntgroep blokkeert verkeer

De NSG in een andere knooppuntgroep blokkeert uitgaande toegang tot de pod. Een aangepaste NSG in de gebruikersknooppuntgroep blokkeert bijvoorbeeld uitgaand verkeer op UDP-poort 53 naar de systeemknooppuntgroep.

Diagram van een aangepaste netwerkbeveiligingsgroep die uitgaand verkeer op UDP-poort 53 blokkeert in de systeemknooppuntgroep van een Azure Kubernetes Service-cluster.

Oplossing 2: De aangepaste NSG configureren om verkeer tussen de knooppuntgroepen toe te staan

Zie Oplossing 1: Configureer de aangepaste NSG om verkeer tussen de knooppuntgroepen toe te staan.

Oorzaak 3: TCP-poort 10250 is geblokkeerd

Een ander veelvoorkomend scenario is dat TCP-poort (Transmission Control Protocol) 10250 wordt geblokkeerd tussen de knooppuntgroepen.

In deze situatie kan een gebruiker een foutbericht ontvangen dat lijkt op de volgende tekst:

$ kubectl logs nginx-57cdfd6dd9-xb7hk
Error from server: Get https://<node>:10250/containerLogs/default/nginx-57cdfd6dd9-xb7hk/nginx: net/http: TLS handshake timeout

Als de communicatie op TCP-poort 10250 wordt geblokkeerd, wordt de verbinding met de Kubelet beïnvloed en worden de logboeken niet opgehaald.

Oplossing 3: Controleren op NSG-regels die TCP-poort 10250 blokkeren

Controleer of NSG-regels communicatie tussen knooppunten blokkeren op TCP-poort 10250.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.