Kubernetes中的Pod无法访问外网-Ubuntu16.04 LTS

安装完Kubernetes后，在Pod中使用wget无法访问外网URL地址，但是使用IP地址是可以 访问，应该是

Pod内无法解析DNS导致的。

1、解决方法

尝试了将DNS换为CoreDNS，问题仍然存在。经过多次测试，发现下面的方法是可行的：

编辑主机的/etc/resolv.conf文件：

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN #nameserver 127.0.1.1 nameserver 192.168.199.1 nameserver 8.8.8.8 nameserver 9.9.9.9 search lan

如果/etc/resolv.conf为链接，则需要修改/etc/resolvconf/resolv.conf.d/base或head文件，然后运行resolvconf -u进行更新/etc/resolv.conf里的内容。

2、原因分析

Ubuntu16.04 LTS安装的resolvconf有一些问题，/etc/resolv.conf并非链接（有的安装同一个版本是链接，很奇怪的），resolvconf -u等方法都会执行失败。原则上，是链接的到/etc/resolvconf/resolv.conf.d里面去改，不是链接的，直接修改/etc/resolv.conf文件。

可能Kubernetes启动Pod时，要把/etc/resolv.conf里的dns信息带到pod中，而resolv.conf解析不到外面的地址。联想到之前kube-dns经常出错，估计也是这个原因。配置完后，kube-dns就很少出错了。

3、其它

下面是从网上看到的方法，做过尝试的一些方法。

经过测试，加入外部DNS后可以访问外部网址，/etc/resolv.conf里的nameserver的IP地址无法ping通，肯定也无法做域名解析了。因此，主要原因在于service的clusterip可以传递外部请求到pod，但是pod却无法访问service的ip，在多个技术网站搜索，基本上都出现此问题。

解决方法包括：

• 修改iptables的配置，在sysctl.conf。查看iptable配置，iptable -L -v。
• 使用Service Mesh，不知道是否有助于该问题。
• 使用weavenet的网络驱动，有人说可以。有人说flannel可以，calico不行，但我用的flannel也是不行，可能跟操作系统也有关系，我的是ubuntu 16.04。
• sudo gedit sysctl.conf，插入：

###################################### # For K8s pod access service  # by openthings,2018.06.30. #======================================
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1 #######################################

按照这些方法搞过，还是不行。 ping 10.96.0.10不通。

变通的方法：

• 设一个代理，使用IP地址去访问。如https_proxy=192.168.199.99:9999 wget example.org，经测试，可行。也证明了网络是通的，主要是DNS服务地址访问不到。
• 尝试通过修改/etc/resolvconf/resolv.conf.d/base，然后运行resolvconf不成功。
• 在POD里添加新的DNS服务器，如在/etc/resolv.conf加上 nameserver=8.8.8.8，没效果。进到pod里，检查/etc/resolv.conf，并没有将主机的nameserver配置参数带进来。

但是，这两个方法虽然可以访问外部地址了，但仍然不能访问Kubernetes的Service产生的ClusterIP。不过，集群内部访问其它服务（包括POD自己的服务），可以通过服务名进行。

尝试设置Kubernetes的Kube-dns的外部dns，将下面内容保存为extdns.yaml。

apiVersion: v1 kind: ConfigMap metadata:
 name: kube-dns
 namespace: kube-system
 labels:
 addonmanager.kubernetes.io/mode: EnsureExists
data:
 upstreamNameservers: /
 ["8.8.8.8", "9.9.9.9"]

• 然后运行kubectl create -f extdns.yaml，部署该设置到kubernetes集群。不过，该方法貌似没啥用。
• 更多参考：https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/

其它：

• docker inspect查看DNS设置。
• 以下内容来自于：https://juejin.im/entry/5aa9cc1af265da2384404c06

如果 Node 上安装的 Docker 版本大于 1.12，那么 Docker 会把默认的 iptables FORWARD 策略改为 DROP。这会引发 Pod 网络访问的问题。解决方法则在每个 Node 上面运行 iptables -P FORWARD ACCEPT，比如

如果使用了 flannel/weave 网络插件，更新为最新版本也可以解决这个问题。

DNS 无法解析也有可能是 kube-dns 服务异常导致的，可以通过下面的命令来检查 kube-dns 是否处于正常运行状态

如果 kube-dns 处于 CrashLoopBackOff 状态，那么需要查看 kube-dns Pod 的日志，根据日志来修复 DNS 服务。

如果 kube-dns Pod 处于正常 Running 状态，则需要进一步检查是否正确配置了 kube-dns 服务：

如果 kube-dns service 不存在，或者 endpoints 列表为空，则说明 kube-dns service 配置错误，可以重新部署 kube-dns service。

本文转自开源中国-Kubernetes中的Pod无法访问外网-Ubuntu16.04 LTS