Oracle Cloud Infrastructure - Dokumentation

Netzwerkkonfigurationsprobleme für Kubernetes-Cluster mit Netzwerkpfadanalysetests beheben

Erfahren Sie, wie Sie mithilfe von Netzwerkpfadanalysetests Netzwerkkonnektivitätsprobleme mit Clustern lösen können, die Sie mit der Kubernetes Engine (OKE) erstellt haben.

Damit ein Cluster, das Sie mit der Kubernetes-Engine erstellen, ordnungsgemäß funktioniert, müssen die für das Cluster angegebenen Netzwerkressourcen entsprechend konfiguriert werden. Wenn Sie ein Cluster mit dem Schnellerstellungsworkflow erstellen, erstellt und konfiguriert Kubernetes Engine neue Netzwerkressourcen für Sie gemäß den Richtlinien unter Netzwerkressourcenkonfiguration für Clustererstellung und -Deployment. Wenn Sie jedoch ein Cluster mit dem Workflow "Benutzerdefinierte Erstellung" erstellen, geben Sie vorhandene Netzwerkressourcen für das neue Cluster an, die verwendet werden sollen. Diese Ressourcen müssen entsprechend konfiguriert werden, um die Netzwerkkommunikation mit dem Cluster zu ermöglichen und die Kommunikation zwischen verschiedenen Clusterkomponenten untereinander zu ermöglichen.

Die Konfiguration von Netzwerkressourcen für Kubernetes-Cluster kann kompliziert werden. Kubernetes Engine stellt daher eine Reihe vordefinierter Netzwerkpfadanalysetests zur Behebung von Netzwerkkonfigurationsproblemen bereit. Diese Pfadanalysetests untersuchen virtuelle Netzwerktopologien, durchlaufen mehrere Routentabellen und prüfen Sicherheitsregeln in Netzwerksicherheitsgruppen (NSGs) und Sicherheitslisten. Es wird kein tatsächlicher Traffic gesendet. Vielmehr wird die Konfiguration geprüft und zur Bestätigung der Erreichbarkeit verwendet.

Mit den Pfadanalysetests können Sie bestimmen, ob eine OCI-Ressource eine andere OCI-Ressource erreichen kann (unidirektionale Konnektivität von Quelle zu Ziel) und ob zwei OCI-Ressourcen sich gegenseitig erreichen können (bidirektionale Konnektivität). Beispiel: Mit einem Pfadanalysetest können Sie bestimmen, ob ein Pod in einem Kubernetes-Cluster, das das CNI-Plug-in für VCN-native Podnetworking verwendet, OCI-Services erreichen kann und umgekehrt.

Bei Verwendung der Konsole können Sie die vordefinierten Pfadanalysetests im Bildschirm Clusterdetails auswählen. Weitere Informationen zu den verfügbaren vordefinierten Pfadanalysetests finden Sie unter Vordefinierte Pfadanalysetests.

Jeder vordefinierte Pfadanalysetest erfordert eine Reihe verschiedener Testparameter. Wenn Sie einen Test ausführen, werden je nach ausgewähltem Test Standardwerte für einige oder alle Testparameter aus den Eigenschaften der Ressourcen abgeleitet, die vom Cluster verwendet werden. In einigen Fällen können Sie die Standardwerte ändern. Sie müssen Werte für Testparameter angeben, die keine Standardwerte aufweisen. Nachdem Sie einen vordefinierten Pfadanalysetest ausgeführt haben, können Sie die Ergebnisse als JSON-Datei speichern, sodass Sie Testergebnisse im Laufe der Zeit vergleichen können. Weitere Informationen zum Ausführen vordefinierter Pfadanalysetests für ein Cluster finden Sie unter Vordefinierte Pfadanalysetests ausführen.

Die Pfadanalysetests werden von Oracle Cloud Infrastructure Network Path Analyzer (NPA) unterstützt, der Probleme bei der Konfiguration virtueller Netzwerke identifiziert, die sich auf die Konnektivität auswirken. Zusätzlich zu den vordefinierten Pfadanalysetests, die im Bildschirm Clusterdetails verfügbar sind, können Sie auch eigene benutzerdefinierte Pfadanalysetests mit NPA erstellen. Weitere Informationen zu NPA, einschließlich Berechtigungen zur Ausführung von NPA, und zum Erstellen und Ausführen von Pfadanalysetests mit NPA finden Sie unter Network Path Analyzer.

Erforderliche IAM-Policys für die Ausführung von Pfadanalysetests

Um Pfadanalysetests auszuführen, um Netzwerkpfade für ein Kubernetes-Cluster zu prüfen, das Sie mit der Kubernetes-Engine erstellt haben, müssen Sie zu einer Gruppe gehören, der die Berechtigung zur Verwendung von Network Path Analyzer (NPA) erteilt wurde. Network Path Analyzer muss auch die Berechtigung für den Zugriff auf verschiedene Netzwerkressourcen erhalten haben.

Informationen zu den zu erteilenden Berechtigungen und einer empfohlenen IAM-Policy finden Sie in der Dokumentation zu Network Path Analyzer unter Erforderliche Berechtigungen.

Vordefinierte Pfadanalysetests

Sie können eine Reihe von verschiedenen vordefinierten Pfadanalysetests verwenden, um Netzwerkpfade für ein Kubernetes-Cluster zu prüfen, das Sie mit der Kubernetes-Engine erstellt haben. In der Konsole können Sie die Liste der Pfadanalysetests nach folgenden Kriterien filtern:

  • den Typ des Problems, das Sie prüfen möchten (wie DNS-Fehler, Kubernetes-Control-Plane-Fehler, Knoten, die sich nicht registrieren)
  • Pfade, die für die korrekte Funktionsweise der Kubernetes-Engine unerlässlich, empfohlen oder optional sind

Die Tests sind in folgende breite Testkategorien gruppiert:

  • Cluster-API-Tests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit der Kubernetes-API-Endpunkt des Clusters bidirektional mit anderen Clusterkomponenten und Netzwerkspeicherorten kommunizieren kann.
  • Knotentests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit Worker-Knoten in der Kubernetes-Data Plane bidirektional mit anderen Clusterkomponenten und Netzwerkstandorten kommunizieren können.
  • Podtests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit Pods in der Kubernetes-Data Plane bidirektional mit anderen Clusterkomponenten und Netzwerkspeicherorten kommunizieren können.
  • Load-Balancer-Tests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit ein OCI-Load Balancer oder Network Load Balancer bidirektional mit anderen Clusterkomponenten und Netzwerkspeicherorten kommunizieren kann.

Clusterkomponenten verwenden unterschiedliche Pfade für die Kommunikation mit anderen Clusterkomponenten und Netzwerkspeicherorten, je nach Netzwerktyp des Clusters (Flannel-Overlay oder VCN-nativ) und dem Typ der Worker-Knoten, die das Cluster enthält (verwaltet und/oder virtuell). In jeder Testkategorie gibt es verschiedene Pfadanalysetests, um diese verschiedenen Pfade zu überprüfen.

Beachten Sie, dass in der Konsole nur die Pfadanalysetests angezeigt werden, die für das aktuelle Cluster gelten. Beispiel: Wenn der Netzwerktyp des Clusters "Flannel-Overlay" lautet, können Sie nur Pfadanalysetests auswählen, die für den Flannel-Overlay-Netzwerktyp gelten.

Vordefinierte Pfadanalysetests ausführen

Mit der Konsole können Sie vordefinierte Pfadanalysetests ausführen, um Netzwerkpfade für ein Kubernetes-Cluster zu prüfen, das Sie mit der Kubernetes-Engine erstellt haben.

Konsole verwenden

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Entwicklerservices aus. Wählen Sie unter Container und Artefakte die Option Kubernetes-Cluster (OKE) aus.
  2. Wählen Sie ein Compartment aus, für das Sie eine Berechtigung besitzen.
  3. Wählen Sie auf der Seite Clusterliste den Namen des Clusters aus, für das Sie einen vordefinierten Netzwerkpfadanalysetest ausführen möchten.
  4. Wählen Sie unter Ressourcen die Option Pfadanalysetests aus.
    Die vordefinierten Pfadanalysetests werden in die folgenden allgemeinen Kategorien eingeteilt, die auf verschiedenen Testkategorieregisterkarten angezeigt werden:
    • Cluster-API-Tests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit der Kubernetes-API-Endpunkt des Clusters bidirektional mit anderen Clusterkomponenten und Netzwerkspeicherorten kommunizieren kann.
    • Knotentests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit Worker-Knoten in der Kubernetes-Data Plane bidirektional mit anderen Clusterkomponenten und Netzwerkstandorten kommunizieren können.
    • Podtests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit Pods in der Kubernetes-Data Plane bidirektional mit anderen Clusterkomponenten und Netzwerkspeicherorten kommunizieren können.
    • Load-Balancer-Tests: Mit dieser Option können Sie prüfen, ob mindestens ein Pfad verfügbar ist, damit ein OCI-Load Balancer oder Network Load Balancer bidirektional mit anderen Clusterkomponenten und Netzwerkspeicherorten kommunizieren kann.
  5. (Optional) Geben Sie unter Problemtyp, nach dem Sie suchen möchten die Pfadanalysetests an, die auf den Registerkarten der Testkategorie angezeigt werden, indem Sie den Typ des Problems auswählen, nach dem Sie suchen möchten:
    • Alle Probleme
    • DNS-Fehler
    • Kubernetes-Control-Plane-Fehler
    • Keine Knotenregistrierung
  6. (Optional) Reduzieren oder erweitern Sie unter Filter die Anzahl der Pfadanalysetests, die auf den Registerkarten der Testkategorie angezeigt werden, indem Sie eine oder mehrere der Optionen für OKE erforderlich wie folgt auswählen oder deren Auswahl aufheben:
    • Ja: Zeigen Sie die Pfadanalysetests an, die wesentliche Pfade prüfen, die verfügbar sein müssen, damit die Kubernetes-Engine ordnungsgemäß funktioniert.
    • Empfohlen: Zeigen Sie diese Pfadanalysetests an, um Pfade zu prüfen, die für die Verwendung durch Anwendungen empfohlen (aber nicht erforderlich) werden, die auf Clustern ausgeführt werden, die von der Kubernetes-Engine erstellt wurden.
    • Nein: Zeigen Sie die Pfadanalysetests an, die Pfade prüfen, die weder von der Kubernetes-Engine benötigt noch besonders empfohlen werden, aber dennoch von Anwendungen verwendet werden können, die auf Clustern ausgeführt werden, die von der Kubernetes-Engine erstellt wurden.
    Wenn Sie alle für OKE erforderlichen Optionen unter Filter auswählen, werden alle verfügbaren Pfadanalysetests auf den Registerkarten der Testkategorie angezeigt. Wenn Sie alle für OKE erforderlichen Optionen unter Filter deaktivieren, werden keine Pfadanalysetests auf den Registerkarten der Testkategorie angezeigt.
  7. Suchen Sie den Pfadanalysetest, den Sie auf einer der Registerkarten der Testkategorie ausführen möchten. Verwenden Sie dazu den Testnamen und die Beschreibung.
    Tipp: Wenn Sie den gesuchten Pfadanalysetest nicht finden können oder keine Pfadanalysetests angezeigt werden, prüfen Sie, ob der Problemtyp, den Sie prüfen möchten und die Optionen OKE erforderlich korrekt festgelegt sind. Prüfen Sie außerdem, ob der Pfadanalysetest, den Sie ausführen möchten, auf das aktuelle Cluster anwendbar ist. Beispiel: Wenn der Netzwerktyp des Clusters Flannel-Overlay ist, können Sie nur Pfadanalysetests auswählen, die für den Flannel-Overlay-Netzwerktyp gelten.
  8. Wählen Sie Pfadanalyse starten neben dem Pfadanalysetest, den Sie ausführen möchten, um die Seite Pfadanalyse anzuzeigen.
    Wenn Sie nicht über die richtigen Berechtigungen zum Ausführen des ausgewählten Pfadanalysetests verfügen, wird eine Fehlermeldung angezeigt. Sie müssen die richtigen Berechtigungen erteilen, bevor Sie fortfahren. Informationen zu den zu erteilenden Berechtigungen und einer empfohlenen IAM-Policy finden Sie in der Dokumentation zu Network Path Analyzer unter Erforderliche Berechtigungen.
  9. Ändern Sie je nach ausgewähltem Pfadanalysetest die Standardwerte, oder geben Sie Werte für die Quell- und Zieltestparameter auf der Seite Pfadanalyse an.
    In vielen Fällen werden Standardwerte für Testparameter aus den Eigenschaften der vom Cluster verwendeten Ressourcen abgeleitet. In einigen Fällen können Sie die Standardwerte ändern. Sie müssen Werte für Testparameter angeben, die keine Standardwerte aufweisen.
  10. Wählen Sie Analyse ausführen aus, um den Pfadanalysetest auszuführen.
  11. Lassen Sie die Ausführung des Pfadanalysetests zu. Dieser Vorgang kann bis zu einer Minute dauern.
    Während der Pfadanalysetest ausgeführt wird, durchläuft Traffic nicht das Netzwerk. Netzwerkkonfigurationsinformationen werden einfach erfasst und analysiert, um zu bestimmen, wie die Pfade zwischen der Quelle und dem Ziel funktionieren oder nicht erfolgreich verlaufen.
    Nachdem der Pfadanalysetest ausgeführt wurde, werden alle möglichen Pfade (bis zu maximal acht), die zwischen der Quelle und dem Ziel identifiziert wurden, auf verschiedenen Registerkarten im Abschnitt Erkannte Pfade angezeigt.
    In jeder Registerkarte werden die für den Pfadanalysetest konfigurierten Optionen sowie Diagramme angezeigt, in denen der Vorwärtspfad und (falls konfiguriert) der Rückgabepfad für den Traffic zwischen Quelle und Ziel sowie der Status der einzelnen Pfade visualisiert werden:
    • Wenn der Pfadanalysetest feststellt, dass der Netzwerktraffic einen bestimmten Pfad erfolgreich durchlaufen kann, weist das Diagramm für diesen Pfad den Pfadstatus Erreichbar auf. Ein grüner Pfeil stellt jeden erfolgreichen Hop zwischen Knoten im Gesamtpfad dar.
    • Wenn der Pfadanalysetest feststellt, dass der Netzwerktraffic einen bestimmten Pfad nicht erfolgreich durchlaufen kann, weist das Diagramm für diesen Pfad den Pfadstatus Nicht erreichbar auf. Ein grüner Pfeil stellt alle erfolgreichen Hops im Gesamtpfad dar, und ein roter Pfeil stellt das Hop- oder Netzwerksegment dar, das nicht erreichbar ist.
  12. Wählen Sie Diagramminformationen anzeigen aus, um weitere Details zu den Hops in jedem Pfad anzuzeigen, oder wählen Sie einen bestimmten Pfeil aus, um Details zu einem bestimmten Hop abzurufen. Beispiel: Um zu bestimmen, ob ein Hop aufgrund einer Fehlkonfiguration in der Routing- oder Sicherheitskonfiguration eines bestimmten Knotens nicht erfolgreich war.
    Jeder Hop hat einen Routing-Status mit einem der folgenden Werte:
    • Weitergeleitet: Die relevante Routentabelle lässt den Traffic zu.
    • Keine Route: Die Routentabelle lässt den Traffic nicht explizit zu.
    • Unbestimmt: Die Routentabelle kann nicht analysiert werden, weil Ihr Account nicht über die erforderlichen Berechtigungen verfügt oder weil die Knotenroutinginformationen aus einem anderen Grund nicht verfügbar sind.

    Wenn der Knoten eine OCI-Ressource ist, werden die Routinginformationen direkt mit der relevanten Routingregel verknüpft.

    Jeder Hop hat einen Sicherheitsstatus mit einem der folgenden Werte:
    • Zulässig: Die relevante Sicherheitsliste oder Regel lässt den Traffic zu.
    • Blockiert: Die Sicherheitsliste oder -regel blockiert den Traffic.
    • Unbestimmt: Die Sicherheitsliste oder -regel kann nicht analysiert werden, weil Ihr Account nicht über die erforderlichen Berechtigungen verfügt oder weil die Knotensicherheitsinformationen aus einem anderen Grund nicht verfügbar sind.

    Wenn der Knoten eine OCI-Ressource ist, sind die Sicherheitsinformationen direkt mit der relevanten Sicherheitsliste oder -regel verknüpft.

  13. (Optional) Wählen Sie Als JSON speichern aus, um die Ausgabe des Pfadanalysetests in einer JSON-Datei im Standarddownloadverzeichnis zu speichern.
    Wenn Sie die Testausgabe der Pfadanalyse als JSON-Datei speichern, können Sie Testergebnisse im Laufe der Zeit vergleichen.
  14. Wählen Sie Schließen, um die Seite Pfadanalyse zu schließen.