Documentazione di Oracle Cloud Infrastructure

Risoluzione dei problemi di configurazione di rete per i cluster Kubernetes mediante i test di analisi del percorso di rete

Scopri come utilizzare i test di analisi del percorso di rete per risolvere i problemi di connettività di rete con i cluster creati utilizzando Kubernetes Engine (OKE).

Affinché un cluster creato con Kubernetes Engine funzioni correttamente, le risorse di rete specificate per il cluster devono essere configurate in modo appropriato. Quando si crea un cluster utilizzando il workflow di creazione rapida, Kubernetes Engine crea e configura automaticamente nuove risorse di rete, in base alle linee guida descritte in Configurazione delle risorse di rete per la creazione e la distribuzione del cluster. Tuttavia, quando si crea un cluster utilizzando il workflow di creazione personalizzata, è necessario specificare le risorse di rete esistenti per il nuovo cluster da utilizzare. Queste risorse devono essere configurate in modo appropriato per abilitare la comunicazione di rete con il cluster e per consentire a diversi componenti del cluster di comunicare tra loro.

La configurazione delle risorse di rete per i cluster Kubernetes può diventare complicata. Il motore Kubernetes fornisce pertanto una serie di test di analisi dei percorsi di rete predefiniti per risolvere i problemi di configurazione della rete. Questi test di analisi del percorso esaminano le topologie di rete virtuale, esaminano più tabelle di instradamento ed esaminano le regole di sicurezza nei gruppi di sicurezza di rete (NSG) ed elenchi di sicurezza. Non viene inviato alcun traffico effettivo, invece la configurazione viene esaminata e utilizzata per confermare la raggiungibilità.

Utilizzando i test di analisi del percorso, puoi determinare se una risorsa OCI può raggiungere un'altra risorsa OCI (connettività unidirezionale dall'origine alla destinazione) e se due risorse OCI possono raggiungere l'altra (connettività bidirezionale). Ad esempio, è possibile utilizzare un test di analisi del percorso per determinare se un pod in un cluster Kubernetes che utilizza il plugin CNI Pod Networking nativo VCN può raggiungere i servizi OCI e viceversa.

Quando si utilizza la console, è possibile selezionare i test di analisi del percorso predefiniti dalla schermata Dettagli cluster. Per ulteriori informazioni sui test di analisi del percorso predefiniti disponibili, vedere Test di analisi del percorso predefiniti.

Ogni test di analisi del percorso predefinito richiede diversi parametri di test. Quando si esegue un test, a seconda del test selezionato, i valori predefiniti per alcuni o tutti i parametri di test vengono derivati dalle proprietà delle risorse utilizzate dal cluster. In alcuni casi, è possibile modificare i valori predefiniti. È necessario fornire valori per i parametri di test che non hanno valori predefiniti. Dopo aver eseguito un test di analisi del percorso predefinito, è possibile salvare i risultati come file JSON, consentendo di confrontare i risultati del test nel tempo. Per ulteriori informazioni sull'esecuzione dei test di analisi del percorso predefiniti per un cluster, vedere Esecuzione dei test di analisi del percorso predefiniti.

I test di analisi del percorso sono basati su Oracle Cloud Infrastructure Network Path Analyzer (NPA), che identifica i problemi di configurazione della rete virtuale che influiscono sulla connettività. Oltre ai test di analisi del percorso predefiniti disponibili nella schermata Dettagli cluster, è anche possibile creare test di analisi del percorso personalizzati utilizzando NPA. Per ulteriori informazioni su NPA, incluse le autorizzazioni necessarie per eseguire NPA, e su come creare ed eseguire test di analisi del percorso con NPA, vedere Analizzatore del percorso di rete.

Criteri IAM obbligatori per l'esecuzione dei test di analisi del percorso

Per eseguire test di analisi del percorso per verificare i percorsi di rete per un cluster Kubernetes creato mediante Kubernetes Engine, è necessario appartenere a un gruppo a cui è stata concessa l'autorizzazione per utilizzare Network Path Analyzer (NPA). Anche ad Analyzer percorso di rete deve essere stata concessa l'autorizzazione per accedere a varie risorse di rete.

Per informazioni sulle autorizzazioni da concedere e su un criterio IAM consigliato, vedere Autorizzazioni richieste nella documentazione di Network Path Analyzer.

Test di analisi del percorso predefiniti

Puoi utilizzare diversi test di analisi del percorso predefiniti per verificare i percorsi di rete per un cluster Kubernetes creato utilizzando Kubernetes Engine. Nella console è possibile filtrare l'elenco dei test di analisi del percorso in base ai seguenti elementi:

  • il tipo di problema che si desidera verificare (ad esempio, errori DNS, errori del piano di controllo Kubernetes, nodi che non riescono a registrarsi)
  • percorsi essenziali, consigliati o facoltativi per il corretto funzionamento del motore Kubernetes

I test sono raggruppati nelle seguenti ampie categorie di test:

  • Test API cluster: consente di verificare che uno o più percorsi siano disponibili per consentire all'endpoint API Kubernetes del cluster di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
  • Test dei nodi: consente di verificare la disponibilità di uno o più percorsi per consentire ai nodi di lavoro nel piano dati Kubernetes di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
  • Test dei pod: consente di verificare che uno o più percorsi siano disponibili per consentire ai pod nel piano dati Kubernetes di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
  • Test del load balancer: consente di verificare che siano disponibili uno o più percorsi per consentire a un load balancer OCI o a un load balancer di rete di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.

I componenti del cluster utilizzano percorsi diversi per comunicare con altri componenti del cluster e posizioni di rete, a seconda del tipo di rete del cluster (overlay multicanale o nativo VCN) e del tipo di nodi di lavoro contenuti nel cluster (gestiti e/o virtuali). In ogni categoria di test, esistono diversi test di analisi del percorso per verificare questi percorsi diversi.

Tenere presente che la console mostra solo i test di analisi del percorso applicabili al cluster corrente. Ad esempio, se il tipo di rete del cluster è Sovrapposizione Flannel, è possibile selezionare solo i test di analisi del percorso che si applicano al tipo di rete di Sovrapposizione Flannel.

Esecuzione dei test di analisi del percorso predefinito

La console consente di eseguire test di analisi del percorso predefiniti per verificare i percorsi di rete per un cluster Kubernetes creato mediante Kubernetes Engine.

Utilizzo di Console

  1. Aprire il menu di navigazione e selezionare Servizi per sviluppatori. In Container e artifact, selezionare Cluster Kubernetes (OKE).
  2. Scegliere un compartimento in cui si dispone dell'autorizzazione per lavorare.
  3. Nella pagina Elenco cluster selezionare il nome del cluster per il quale si desidera eseguire un test di analisi del percorso di rete predefinito.
  4. In Risorse, selezionare Test di analisi percorso.
    I test di analisi del percorso predefiniti sono raggruppati nelle seguenti categorie generali, visualizzate in diverse schede delle categorie di test:
    • Test API cluster: consente di verificare che uno o più percorsi siano disponibili per consentire all'endpoint API Kubernetes del cluster di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
    • Test dei nodi: consente di verificare la disponibilità di uno o più percorsi per consentire ai nodi di lavoro nel piano dati Kubernetes di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
    • Test dei pod: consente di verificare che uno o più percorsi siano disponibili per consentire ai pod nel piano dati Kubernetes di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
    • Test del load balancer: consente di verificare che siano disponibili uno o più percorsi per consentire a un load balancer OCI o a un load balancer di rete di comunicare bidirezionalmente con altri componenti del cluster e posizioni di rete.
  5. (Facoltativo) In Tipo di problema che si desidera verificare, specificare i test di analisi del percorso visualizzati nelle schede delle categorie di test selezionando il tipo di problema che si desidera verificare:
    • Qualsiasi problema
    • Errori DNS
    • Errori del piano di controllo Kubernetes
    • Nodi non in fase di registrazione
  6. (Facoltativo) In Filtri, ridurre o espandere il numero di test di analisi del percorso visualizzati nelle schede delle categorie di test selezionando o deselezionando una o più opzioni OKE obbligatorie, come indicato di seguito.
    • Sì: mostra i test di analisi del percorso che verificano i percorsi essenziali che devono essere disponibili affinché Kubernetes Engine funzioni correttamente.
    • Consigliato: mostra i test di analisi del percorso che verificano i percorsi consigliati (ma non necessari) per l'uso da parte delle applicazioni in esecuzione sui cluster creati da Kubernetes Engine.
    • No: mostra i test di analisi del percorso che verificano i percorsi che non sono né richiesti da Kubernetes Engine né particolarmente consigliati, ma che possono tuttavia essere utilizzati dalle applicazioni in esecuzione su cluster creati da Kubernetes Engine.
    Se si selezionano tutte le opzioni OKE richieste in Filtri, tutti i test di analisi del percorso disponibili vengono visualizzati nelle schede delle categorie di test. Se si deselezionano tutte le opzioni OKE richieste in Filtri, non verranno visualizzati test di analisi del percorso in alcuna scheda della categoria di test.
  7. Individuare il test di analisi del percorso che si desidera eseguire in una delle schede della categoria di test, utilizzando il nome e la descrizione del test.
    Suggerimento: se non si riesce a trovare il test di analisi del percorso che si sta cercando o se non vengono visualizzati test di analisi del percorso, controllare due volte che le opzioni Tipo di problema che si desidera controllare e OKE obbligatorio siano impostate correttamente. Verificare inoltre che il test di analisi del percorso che si desidera eseguire sia applicabile al cluster corrente. Ad esempio, se il tipo di rete del cluster è Sovrapposizione Flannel, è possibile selezionare solo i test di analisi del percorso che si applicano al tipo di rete di Sovrapposizione Flannel.
  8. Selezionare Avvia analisi percorso accanto al test di analisi percorso che si desidera eseguire per visualizzare la pagina Analisi percorso.
    Se non si dispone delle autorizzazioni corrette per eseguire il test di analisi del percorso selezionato, viene visualizzato un messaggio di errore. È necessario concedere le autorizzazioni corrette prima di continuare. Per informazioni sulle autorizzazioni da concedere e su un criterio IAM consigliato, vedere Autorizzazioni richieste nella documentazione di Network Path Analyzer.
  9. A seconda del test di analisi del percorso selezionato, modificare i valori predefiniti o fornire i valori per i parametri di test di origine e destinazione nella pagina Analisi del percorso.
    In molti casi, i valori predefiniti per i parametri di test vengono derivati dalle proprietà delle risorse utilizzate dal cluster. In alcuni casi, è possibile modificare i valori predefiniti. È necessario fornire valori per i parametri di test che non hanno valori predefiniti.
  10. Selezionare Esegui analisi per eseguire il test di analisi del percorso.
  11. Consentire l'esecuzione del test di analisi del percorso, che potrebbe richiedere fino a un minuto.
    Mentre il test di analisi del percorso è in esecuzione, il traffico non sta effettivamente attraversando la rete. Le informazioni di configurazione della rete vengono semplicemente raccolte e analizzate per determinare come funzionerebbero o fallirebbero i percorsi tra l'origine e la destinazione.
    Dopo l'esecuzione del test di analisi del percorso, tutti i percorsi possibili (fino a un massimo di otto) identificati tra l'origine e la destinazione vengono visualizzati in schede diverse nella sezione Percorsi individuati.
    Ogni scheda mostra le opzioni configurate per il test di analisi del percorso, insieme ai diagrammi che visualizzano il percorso in avanti e (se configurato) il percorso di ritorno per il traffico tra l'origine e la destinazione e lo stato di ciascun percorso:
    • Se il test di analisi del percorso determina che il traffico di rete può attraversare correttamente un determinato percorso, il diagramma per tale percorso ha uno stato del percorso raggiungibile. Una freccia verde rappresenta ogni hop riuscito tra i nodi nel percorso complessivo.
    • Se il test di analisi del percorso determina che il traffico di rete non può attraversare correttamente un determinato percorso, il diagramma per tale percorso ha uno stato del percorso Non raggiungibile. Una freccia verde rappresenta qualsiasi luppolo riuscito nel percorso generale e una freccia rossa rappresenta il segmento hop o di rete non raggiungibile.
  12. Selezionare Visualizza informazioni sul diagramma per visualizzare ulteriori dettagli sugli hop in ogni percorso oppure selezionare una freccia specifica per ottenere dettagli su un determinato hop. Ad esempio, per determinare se un hop non è riuscito a causa di una configurazione errata nell'instradamento o nella configurazione di sicurezza di un nodo specifico.
    Ogni hop ha uno stato di instradamento, con uno dei valori riportati di seguito.
    • Inoltrato: la tabella di instradamento pertinente consente il traffico.
    • Nessun instradamento: la tabella di instradamento non consente in modo esplicito il traffico.
    • Indeterminato: impossibile analizzare la tabella di instradamento perché l'account non dispone delle autorizzazioni necessarie oppure perché le informazioni di instradamento del nodo non sono disponibili per altri motivi.

    Se il nodo è una risorsa OCI, le informazioni di instradamento si collegano direttamente alla regola di instradamento pertinente.

    Ogni hop ha uno stato di sicurezza con uno dei valori riportati di seguito.
    • Consentito: la lista o la regola di sicurezza pertinente consente il traffico.
    • Bloccato: la lista di sicurezza o la regola blocca il traffico.
    • Indeterminato: impossibile analizzare la lista o la regola di sicurezza perché l'account non dispone delle autorizzazioni necessarie oppure perché le informazioni di sicurezza del nodo non sono disponibili per altri motivi.

    Se il nodo è una risorsa OCI, le informazioni di sicurezza si collegano direttamente alla lista o alla regola di sicurezza pertinente.

  13. (Facoltativo) Selezionare Salva come JSON per salvare l'output del test di analisi del percorso in un file JSON nella directory di download predefinita.
    Il salvataggio dell'output del test di analisi del percorso come file JSON consente di confrontare i risultati del test nel tempo.
  14. Selezionare Chiudi per chiudere la pagina Analisi percorso.