Flannel网络插件深度排障指南

Flannel网络插件深度排障指南

flannel flannel is a network fabric for containers, designed for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/fl/flannel

前言

Flannel作为Kubernetes生态中广泛使用的CNI网络插件，在实际部署过程中可能会遇到各种网络连接问题。本文将从技术原理和实战经验出发，系统性地梳理Flannel常见故障场景及其解决方案，帮助运维人员快速定位和解决问题。

基础连接性问题排查

Docker iptables策略变更

问题现象：跨主机容器间网络不通，特别是在Docker v1.13及以上版本环境中。

技术背景：Docker在v1.13版本后将默认的iptables转发策略从ACCEPT改为DROP，这会影响跨主机容器通信。

解决方案：

1. 升级到最新版Flannel
2. 临时解决方案（不推荐）：修改Docker的iptables策略

日志收集与分析

Flannel使用klog库记录日志，但仅支持输出到stderr。日志系统配置建议：

# 查看systemd管理的日志
journalctl -u flanneld

# Kubernetes环境下查看Pod日志
kubectl logs -n kube-flannel <POD_NAME> -c kube-flannel

日志级别控制：

• 默认级别为0（基本日志）
• 可通过-v=10获取最详细日志
• 支持按文件过滤日志（vmodule参数）

网络接口与IP配置

公共IP选择机制

Flannel启动时会自动选择网络接口并确定公共IP，该过程日志示例如下：

I0629 14:28:35.866793    5522 main.go:386] Determining IP address of default interface
I0629 14:28:35.866987    5522 main.go:399] Using interface with name enp62s0u1u2
I0629 14:28:35.867000    5522 main.go:412] Using 10.10.10.10 as external address

关键点：

• 公共IP变化需要重启Flannel
• 租约与公共IP绑定

Vagrant环境特殊处理

典型问题：Vagrant默认创建两个网络接口（eth0为NAT，eth1为私有网络），所有主机的eth0都是10.0.2.15。

解决方案：

# 强制指定使用eth1接口
flanneld --iface=eth1

网络性能优化

控制平面扩展性

Flannel控制平面设计特点：

• 支持大规模主机集群
• 资源需求低（CPU/Memory）
• 依赖底层存储性能（etcd/Kubernetes API）

性能瓶颈排查：

1. 检查Flannel资源配额
2. 监控etcd/Kubernetes API响应时间

数据平面优化

关键配置项：

1. 后端类型选择（性能排序）：

   • 无封装（host-gw）> VXLAN > UDP
   • 生产环境推荐VXLAN

2. MTU设置：

   • 检查物理网卡MTU
   • 验证subnet.env中的MTU值
   • 确认容器虚拟网卡MTU配置

防火墙配置要点

不同后端模式需要开放的端口：

| 后端模式 | 协议 | 端口 | 说明 | |---------|------|------|-----| | UDP | UDP | 8285 | 封装数据包 | | VXLAN | UDP | 8472 | 内核封装 |

额外要求：

• 确保Pod网络CIDR可以访问Kubernetes Master节点

Kubernetes专项问题

PodCIDR分配机制

核心依赖：每个Node必须已分配podCIDR

检查方法：

kubectl get nodes -o jsonpath='{.items[*].spec.podCIDR}'

分配方式：

1. kubelet启动参数：--pod-cidr
2. controller-manager参数：--allocate-node-cidrs=true --cluster-cidr=<cidr>
3. kubeadm初始化参数：--pod-network-cidr=10.244.0.0/16

常见错误日志分析

1. 配置读取失败：

   • 检查/etc/kube-flannel/net-conf.json
   • 验证ConfigMap kube-flannel-cfg内容

2. 子网配置解析错误：

   • 检查JSON格式有效性
   • 验证网络配置内容

3. RBAC权限问题：

   • 确保已部署必要的RBAC规则
   • 检查ServiceAccount权限

高级网络问题处理

NAT环境下的VXLAN校验和

问题现象：NAT环境可能导致VXLAN数据包校验和错误

解决方案：

# 临时方案
ethtool -K flannel.1 tx-checksum-ip-generic off

# 持久化方案（创建udev规则）
echo 'SUBSYSTEM=="net", ACTION=="add|change|move", ENV{INTERFACE}=="flannel.1", RUN+="/usr/sbin/ethtool -K flannel.1 tx-checksum-ip-generic off"' > /etc/udev/rules.d/90-flannel.rules

权限问题排查

典型错误：

• Error adding route...
• Add L2 failed
• Operation not permitted

解决方案：

1. 确保运行用户有足够权限
2. 测试使用sudo运行
3. 检查Linux能力集(Capabilities)

总结

本文系统梳理了Flannel网络插件在实际部署中可能遇到的各类问题及其解决方案。建议运维人员：

1. 建立完善的监控体系，提前发现问题
2. 定期检查网络配置一致性
3. 重要变更前做好回滚预案
4. 保持Flannel版本更新

通过理解Flannel的工作原理和掌握这些排障技巧，可以有效保障Kubernetes集群网络的稳定性和性能。

flannel flannel is a network fabric for containers, designed for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/fl/flannel