Documentación de Oracle Cloud Infrastructure

Resolución de problemas de configuración de red para clusters Kubernetes mediante pruebas de análisis de rutas de red

Descubra cómo utilizar las pruebas de análisis de rutas de red para ayudarle a resolver problemas de conectividad de red con los clusters que ha creado con Kubernetes Engine (OKE).

Para que un cluster creado con Kubernetes Engine funcione correctamente, los recursos de red especificados para el cluster se deben configurar correctamente. Al crear un cluster mediante el flujo de trabajo de creación rápida, Kubernetes Engine crea y configura nuevos recursos de red para usted, según las directrices descritas en Configuración de recursos de red para creación y despliegue de cluster. Sin embargo, al crear un cluster mediante el flujo de trabajo de creación personalizada, se especifican los recursos de red existentes para el nuevo cluster que se va a utilizar. Estos recursos se deben configurar correctamente para permitir la comunicación de red con el cluster y para permitir que diferentes componentes del cluster se comuniquen entre sí.

La configuración de recursos de red para clusters de Kubernetes puede complicarse. Por lo tanto, Kubernetes Engine proporciona una serie de pruebas de análisis de ruta de red predefinidas para solucionar problemas de configuración de red. Estas pruebas de análisis de ruta examinan las topologías de red virtual, revisan varias tablas de rutas y examinan las reglas de seguridad en los grupos de seguridad de red (NSG) y las listas de seguridad. El lugar de enviar tráfico real, se examina y se utiliza la configuración para confirmar la accesibilidad.

Mediante las pruebas de análisis de ruta de acceso, puede determinar si un recurso de OCI puede acceder a otro recurso de OCI (conectividad unidireccional de origen a destino) y si dos recursos de OCI pueden comunicarse entre sí (conectividad bidireccional). Por ejemplo, puede utilizar una prueba de análisis de ruta para determinar si un pod de un cluster de Kubernetes que utiliza el plugin CNI de red de pod nativo de VCN puede acceder a los servicios de OCI y viceversa.

Al utilizar la consola, puede seleccionar las pruebas de análisis de ruta predefinidas en la pantalla Detalles de cluster. Para obtener más información sobre las pruebas de análisis de rutas predefinidas disponibles, consulte Pruebas de análisis de rutas predefinidas.

Cada prueba de análisis de ruta predefinida requiere una serie de parámetros de prueba diferentes. Al ejecutar una prueba, según la prueba que seleccione, los valores por defecto para algunos o todos los parámetros de prueba se derivan de las propiedades de los recursos utilizados por el cluster. En algunos casos, puede cambiar los valores predeterminados. Debe proporcionar valores para los parámetros de prueba que no tienen valores por defecto. Después de ejecutar una prueba de análisis de ruta predefinida, puede guardar los resultados como un archivo JSON, lo que le permite comparar los resultados de la prueba a lo largo del tiempo. Para obtener más información sobre la ejecución de pruebas de análisis de rutas predefinidas para un cluster, consulte Ejecución de pruebas de análisis de rutas predefinidas.

Las pruebas de análisis de ruta se basan en Oracle Cloud Infrastructure Network Path Analyzer (NPA), que identifica problemas de configuración de red virtual que afectan la conectividad. Además de las pruebas de análisis de rutas predefinidas disponibles en la pantalla Detalles de cluster, también puede crear sus propias pruebas de análisis de rutas personalizadas mediante NPA. Para obtener más información sobre NPA, incluidos los permisos necesarios para ejecutar NPA, y cómo crear y ejecutar pruebas de análisis de rutas con NPA, consulte Network Path Analyzer.

Políticas de IAM necesarias para ejecutar pruebas de análisis de ruta

Para ejecutar pruebas de análisis de ruta de acceso para verificar las rutas de acceso de red para un cluster de Kubernetes creado mediante Kubernetes Engine, debe pertenecer a un grupo al que se le haya otorgado permiso para utilizar Network Path Analyzer (NPA). Network Path Analyzer también debe tener permiso para acceder a varios recursos de red.

Para averiguar los permisos que se van a otorgar y una política de IAM recomendada, consulte Permisos necesarios en la documentación de Network Path Analyzer.

Pruebas de análisis de ruta predefinidas

Puede utilizar una serie de pruebas de análisis de rutas predefinidas diferentes para verificar las rutas de red de un cluster de Kubernetes que ha creado con Kubernetes Engine. En la consola, puede filtrar la lista de pruebas de análisis de ruta por:

  • el tipo de problema que desea comprobar (como fallos de DNS, fallos del plano de control de Kubernetes o nodos que no se registran)
  • rutas que son esenciales, recomendadas u opcionales para el correcto funcionamiento de Kubernetes Engine

Las pruebas se agrupan en las siguientes amplias categorías de pruebas:

  • Pruebas de API de cluster: utilice esta opción para verificar que hay una o más rutas disponibles para permitir que el punto final de API de Kubernetes del cluster se comunique bidireccionalmente con otros componentes del cluster y ubicaciones de red.
  • Pruebas de nodo: se utilizan para verificar que una o más rutas están disponibles para permitir que los nodos de trabajador del plano de datos de Kubernetes se comuniquen bidireccionalmente con otros componentes de cluster y ubicaciones de red.
  • Pruebas de pod: se utiliza para verificar que una o más rutas están disponibles para permitir que los pods del plano de datos de Kubernetes se comuniquen bidireccionalmente con otros componentes del cluster y ubicaciones de red.
  • Pruebas de Load Balancer: se utilizan para verificar que una o más rutas están disponibles para permitir que un equilibrador de carga de OCI o un equilibrador de carga de red se comuniquen bidireccionalmente con otros componentes de cluster y ubicaciones de red.

Los componentes de cluster utilizan diferentes rutas de acceso para comunicarse con otros componentes de cluster y ubicaciones de red, según el tipo de red del cluster (superposición de franela o VCN nativa) y el tipo de nodos de trabajador que contiene el cluster (gestionados y/o virtuales). En cada categoría de prueba, hay diferentes pruebas de análisis de ruta para verificar estas diferentes rutas.

Tenga en cuenta que la consola solo muestra las pruebas de análisis de ruta de acceso aplicables al cluster actual. Por ejemplo, si el tipo de red del cluster es superposición de franela, solo puede seleccionar pruebas de análisis de ruta que se apliquen al tipo de red de superposición de franela.

Ejecución de pruebas de análisis de ruta predefinidas

Utilice la consola para ejecutar pruebas de análisis de rutas predefinidas para verificar las rutas de red de un cluster de Kubernetes que ha creado con Kubernetes Engine.

Uso de la consola

  1. En la página de lista Clusters, seleccione el nombre del cluster para el que desea ejecutar una prueba de análisis de ruta de red predefinida. Si necesita ayuda para buscar la página de lista o el cluster, consulte Listing Clusters.
  2. En Recursos, seleccione Pruebas de análisis de ruta.
    Las pruebas de análisis de ruta predefinidas se agrupan en las siguientes categorías amplias, que se muestran en diferentes separadores de categoría de prueba:
    • Pruebas de API de cluster: se utilizan para verificar que una o más rutas de acceso están disponibles para permitir que el punto final de API de Kubernetes del cluster se comunique bidireccionalmente con otros componentes del cluster y ubicaciones de red.
    • Pruebas de nodos: se utilizan para verificar que una o más rutas de acceso están disponibles para permitir que los nodos de trabajador del plano de datos de Kubernetes se comuniquen bidireccionalmente con otros componentes del cluster y ubicaciones de red.
    • Pruebas de pod: se utiliza para verificar que una o más rutas de acceso están disponibles para permitir que los pods del plano de datos de Kubernetes se comuniquen bidireccionalmente con otros componentes del cluster y ubicaciones de red.
    • Pruebas del equilibrador de carga: se utilizan para verificar que una o más rutas están disponibles para permitir que un equilibrador de carga de OCI o un equilibrador de carga de red se comuniquen bidireccionalmente con otros componentes del cluster y ubicaciones de red.
  3. (Opcional) En Tipo de problema que desea comprobar, especifique las pruebas de análisis de ruta que se muestran en los separadores de categoría de prueba seleccionando el tipo de problema que desea comprobar:
    • Cualquier problema
    • Fallos de DNS
    • Fallos del plano de control de Kubernetes
    • Los nodos no se están registrando
  4. (Opcional) En Filtros, reduzca o amplíe el número de pruebas de análisis de ruta que se muestran en los separadores de categoría de prueba seleccionando o anulando la selección de una o más de las opciones de OKE necesario, de la siguiente manera:
    • Sí: muestre las pruebas de análisis de ruta que verifican las rutas de acceso esenciales que deben estar disponibles para que Kubernetes Engine funcione correctamente.
    • Recomendado: muestra las pruebas de análisis de ruta de acceso que verifican las rutas recomendadas (pero no necesarias) para que las aplicaciones que se ejecutan en clusters creados por Kubernetes Engine las utilicen.
    • No: muestre las pruebas de análisis de ruta que verifican las rutas que no son necesarias para Kubernetes Engine ni especialmente recomendadas, pero que, sin embargo, pueden utilizar las aplicaciones que se ejecutan en clusters creados por Kubernetes Engine.
    Si selecciona todas las opciones necesarias de OKE en Filtros, todas las pruebas de análisis de ruta disponibles se muestran en los separadores de categoría de prueba. Si anula la selección de todas las opciones necesarias de OKE en Filtros, no se muestra ninguna prueba de análisis de ruta en ninguno de los separadores de categoría de prueba.
  5. Localice la prueba de análisis de ruta que desea ejecutar en uno de los separadores de categoría de prueba, utilizando el nombre y la descripción de la prueba.
    Consejo: si no encuentra la prueba de análisis de ruta que está buscando, o si no se muestra ninguna prueba de análisis de ruta, compruebe dos veces que las opciones Tipo de problema que desea comprobar y OKE necesario estén definidas correctamente. Compruebe también que la prueba de análisis de ruta de acceso que desea ejecutar es aplicable al cluster actual. Por ejemplo, si el tipo de red del cluster es Superposición de franela, solo puede seleccionar pruebas de análisis de ruta que se apliquen al tipo de red Superposición de franela.
  6. Seleccione Iniciar análisis de ruta junto a la prueba de análisis de ruta que desea ejecutar para mostrar la página Análisis de ruta.
    Si no tiene los permisos correctos para ejecutar la prueba de análisis de ruta seleccionada, se muestra un mensaje de error. Debe otorgar los permisos correctos antes de continuar. Para averiguar los permisos que se van a otorgar y una política de IAM recomendada, consulte Permisos necesarios en la documentación de Network Path Analyzer.
  7. Según la prueba de análisis de ruta que seleccione, cambie los valores por defecto o proporcione valores para los parámetros de prueba de origen y destino en la página Análisis de ruta.
    En muchos casos, los valores por defecto para los parámetros de prueba se derivan de las propiedades de los recursos utilizados por el cluster. En algunos casos, puede cambiar los valores predeterminados. Debe proporcionar valores para los parámetros de prueba que no tienen valores por defecto.
  8. Seleccione Ejecutar análisis para ejecutar la prueba de análisis de ruta.
  9. Permita que se ejecute la prueba de análisis de ruta, que puede tardar hasta un minuto en completarse.
    Mientras la prueba de análisis de ruta está en ejecución, el tráfico no está atravesando la red. La información de configuración de red simplemente se recopila y analiza para determinar cómo funcionan o fallan las rutas entre el origen y el destino.
    Una vez ejecutada la prueba de análisis de ruta, todas las rutas posibles (hasta un máximo de ocho) que se han identificado entre el origen y el destino se muestran en diferentes separadores de la sección Rutas detectadas.
    Cada separador muestra las opciones configuradas para la prueba de análisis de ruta, junto con diagramas que muestran la ruta directa y (si está configurada) la ruta de vuelta para el tráfico entre el origen y el destino, y el estado de cada ruta:
    • Si la prueba de análisis de ruta determina que el tráfico de red puede recorrer correctamente una ruta determinada, el diagrama de esa ruta tiene un Estado de ruta de Alcanzable. Una flecha verde representa cada salto correcto entre los nodos de la ruta global.
    • Si la prueba de análisis de ruta determina que el tráfico de red no puede recorrer correctamente una ruta determinada, el diagrama de esa ruta tiene el valor Path Status (Estado de ruta) de Unreachable (Inaccesible). Una flecha verde representa cualquier salto correcto en la ruta general y una flecha roja representa el salto o segmento de red al que no se puede acceder.
  10. Seleccione Ver información de diagrama para ver más detalles sobre los saltos en cada ruta o seleccione una flecha específica para obtener detalles sobre un salto concreto. Por ejemplo, para determinar si un salto ha fallado debido a un error de configuración en el enrutamiento o la configuración de seguridad de un nodo específico.
    Cada salto tiene un estado de enrutamiento, con uno de los siguientes valores:
    • Reenviado: la tabla de rutas relevante permite el tráfico.
    • Sin ruta: la tabla de rutas no permite explícitamente el tráfico.
    • Indeterminado: la tabla de rutas no se puede analizar, porque su cuenta no tiene los permisos necesarios o porque la información de enrutamiento del nodo no está disponible por algún otro motivo.

    Si el nodo es un recurso de OCI, la información de enrutamiento se enlaza directamente a la regla de ruta relevante.

    Cada salto tiene un estado de seguridad, con uno de los siguientes valores:
    • Permitido: la lista o regla de seguridad relevante permite el tráfico.
    • Bloqueado: la lista o regla de seguridad bloquea el tráfico.
    • Indeterminado: la lista o regla de seguridad no se puede analizar, porque su cuenta no tiene los permisos necesarios o porque la información de seguridad del nodo no está disponible por algún otro motivo.

    Si el nodo es un recurso de OCI, la información de seguridad enlaza directamente a la lista de seguridad o la regla correspondiente.

  11. (Opcional) Seleccione Guardar como JSON para guardar la salida de la prueba de análisis de ruta en un archivo JSON en el directorio de descargas por defecto.
    Guardar la salida de la prueba de análisis de ruta como un archivo JSON permite comparar los resultados de la prueba a lo largo del tiempo.
  12. Seleccione Cerrar para cerrar la página Análisis de ruta.