บรรจวบ เข้าสู่ระบบ
Score:1
avatar Server

เหตุใดข้อความ bgp OPEN จึงได้รับ Connect Socket: การเชื่อมต่อถูกรีเซ็ตโดยเพียร์เมื่อโหนดอยู่บนซับเน็ต/เกตเวย์อื่น

ธง cn
tFlolo

การตั้งค่าเครือข่ายของฉัน:

การตั้งค่าเครือข่าย Kubernetes

ด้วยการตั้งค่านี้ เฉพาะโหนดบนเครือข่ายย่อยเดียวกันเท่านั้นที่สามารถสร้างการเชื่อมต่อ bgp ได้ โหนดอื่นๆ (ที่ทำการจับมือ tcp แบบ 3 ทางเต็มรูปแบบ) ตอบกลับข้อความ hte OPEN ด้วย [FIN, ACK] ตามด้วย [RST] ดังนั้นการเชื่อมต่อจะรีเซ็ตโดยข้อความเพียร์ใน my สถานะของโหนด Calicoctl <- อยู่บนคอนโทรลเลอร์ 3 (10.0.3.100)

    สถานะ IPv4 BGP
+--------------+------------+------+------ ---------------------------------------------
| ที่อยู่เพื่อน | ประเภทเพื่อน | รัฐ | ตั้งแต่ | ข้อมูล |
+--------------+------------+------+------ ---------------------------------------------
| 10.0.1.100 | ตาข่ายโหนดต่อโหนด | เริ่มต้น | 07:12:01 | เชื่อมต่อซ็อกเก็ต: การเชื่อมต่อ |
| | | | | ปิด |
| 10.0.2.100 | ตาข่ายโหนดต่อโหนด | เริ่มต้น | 07:12:01 | เชื่อมต่อ |
| 10.0.1.101 | ตาข่ายโหนดต่อโหนด | เริ่มต้น | 07:12:01 | เชื่อมต่อซ็อกเก็ต: การเชื่อมต่อ |
| | | | | รีเซ็ตโดยเพียร์ |
| 10.0.1.102 | ตาข่ายโหนดต่อโหนด | เริ่มต้น | 07:12:01 | เชื่อมต่อซ็อกเก็ต: การเชื่อมต่อ |
| | | | | รีเซ็ตโดยเพียร์ |
| 10.0.2.102 | ตาข่ายโหนดต่อโหนด | เริ่มต้น | 07:12:01 | เชื่อมต่อซ็อกเก็ต: การเชื่อมต่อ |
| | | | | รีเซ็ตโดยเพียร์ |
| 10.0.3.101 | ตาข่ายโหนดต่อโหนด | ขึ้น | 07:14:13 | ก่อตั้ง |
| 10.0.3.102 | ตาข่ายโหนดต่อโหนด | ขึ้น | 07:12:02 | ก่อตั้ง |
+--------------+------------+------+------ ---------------------------------------------

ดัมพ์ wireshark ของฉันของการจับมือ + ข้อความ OPEN จากคอนโทรลเลอร์ 3 (10.0.3.100) ไปยัง node4 (10.0.2.102)

Wireshark bgp ติดตามระหว่าง 10.0.3.100 และ 10.0.2.102
Wireshark bgp ติดตามระหว่าง 10.0.0.4(10.0.3.100) และ 10.0.2.102
บางทีปัญหาคือโหนด 4 เห็นข้อมูลที่มาจาก 10.0.0.4 ไม่ใช่ 10.0.3.100?

งานอะไร

  1. ปิงจากโหนดทั้งหมดไปยังโหนดทั้งหมดตกลง
  2. nc พอร์ต 179 ไปยังโหนดทั้งหมดสำเร็จ
  3. Wireshark แสดงการจับมือ TCP เต็มรูปแบบจากคอนโทรลเลอร์ 3 ไปยังโหนด 4

ติดตั้ง

  1. Kubernetes 1.21.1 (ติดตั้งผ่าน kubespray)
  2. Calico 3.9 (ค่าเริ่มต้นใน kubespray)
  3. เกตเวย์ทั้งหมดเป็น pfSense 2.5.x เกตเวย์ "มาสเตอร์" เป็นแบบคงที่ เส้นทางสำหรับ 10.0.1.0/24 ผ่าน 10.0.0.2, 10.0.2.0/24 ผ่าน 10.0.0.3 และ 10.0.3.0/24 ผ่าน 10.0.0.4
  4. ไฟร์วอลล์ถูกปิดใช้งานบนเราเตอร์ศูนย์ข้อมูลทั้งบน wan และ lan ไม่มีการเปิดใช้งาน NAT ในกล่อง pfSense ใดๆ (NAT สำหรับ ipsec vpn อยู่บนพอร์ต wan สำหรับมาสเตอร์เกตเวย์)
  5. เท่าที่ฉันสามารถบอกได้ว่าฉันมีการเชื่อมต่อ IP เต็มรูปแบบระหว่างโหนดทั้งหมดในซับเน็ตทั้งหมด
104
0 + 0
moonkotte avatar
in flag
moonkotte
ยินดีต้อนรับสู่ชุมชน! มี [ปัญหาที่คล้ายกัน](https://github.com/kubernetes-sigs/kubespray/issues/6675) แต่คุณบอกว่าไม่ได้ใช้ NAT ภายในและแสดงการเชื่อมต่อเต็มรูปแบบ ฉันขอแนะนำให้แจ้งปัญหานี้ไปที่ [Calico](https://github.com/projectcalico/calico) โดยตรง
0
ตอบกลับ
cn flag
tFlolo
ใช่ ฉันขอโทษ ฉันคิดว่าไม่มี NAT เมื่อฉันล้างกฎในเราเตอร์ของฉัน ดูเหมือนว่าฉันต้องปิดใช้งาน NAT อัตโนมัติ (ฉันคิดว่ามันเป็นอัตโนมัติสำหรับ IPsec passtrough เท่านั้น แต่มันเป็น NAT ของฉัน การจราจร ปิดการใช้งานอย่างแน่นอนและเริ่มทำงาน ดังนั้นปัญหาอื่นคือวิธีแก้ปัญหาของฉัน
0
ตอบกลับ
Score:0
avatar Server
ธง cn
tFlolo

ฉันสันนิษฐานผิดว่า pfSense Auto NAT ใช้สำหรับ IPsec passtrough เท่านั้น เมื่อฉันปิดใช้งานการสร้างกฎ NAT ขาออกทั้งหมด มันจึงเริ่มทำงานตามที่ตั้งใจไว้ ความผิดของฉันที่ไม่เข้าใจการตั้งค่าในเราเตอร์ pfSense

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา