Conexión Refutilizada encluster pero Port Forwarding trabaja en Kubernetes

Actualmente tengo la carta de helm Hashicorp Vault desplegada, v0.8.0. Funciona como estaba previsto, puedo correr port-forward svc/vault 8200:8200 -n vault y conectarse con vault login -tls-skip-verify, la vaina no se estrella, no hay problemas.

He estado verificando los configs en el clúster, así que quería probar el acceso a Vault desde otro espacio de nombres en el mismo grupo. dig vault.vault.svc.cluster.local resuelve el edificio de servicio adecuado. Sin embargo, cuando corro curl -v -k https://vault.vault.svc.cluster.local:8200/v1/sys/healthMe rechazan las conexiones.

Estoy ejecutando un AKS Cluster en Kubernetes v1.18 con los defectos de Azure Policy y el Azure CNI. ¿Qué causaría que esta conexión rehusara problemas?

Pregunta hecha hace 3 años, 5 meses, 5 días - Por cyberscribe

3 Respuestas:

  • El comentario @mdaniel dejó fue lo que me llevó a resolver el problema con eficacia. Me había quitado el address y cluster_address campos en los bloques de configuración del oyente TCP ya que olvidé Vault sólo escucha en 127.0.0.1. Los puse y resolví el problema.

    Respondida el Dec 18, 2020 a las 00:28 - por codesculptor

    Votos positivos: 0 | Votos negativos: 0

  • El error que estás experimentando al intentar acceder a Vault desde otro espacio de nombres en el mismo clúster puede deberse a las políticas de red o configuraciones de red en tu clúster. Aquí hay algunas posibles causas y soluciones que puedes probar:

    Posibles causas y soluciones:

    1. Reglas de red: Es posible que las reglas de red restrictivas estén impidiendo el acceso entre los servicios en diferentes espacios de nombres. Asegúrate de que las reglas de red en tu clúster permitan la comunicación entre los diferentes espacios de nombres.

    • Problemas de DNS: Asegúrate de que el nombre del servicio se está resolviendo correctamente en el clúster. Puedes intentar resolver el nombre del servicio desde el pod en el espacio de nombres que está teniendo problemas para verificar la resolución DNS.
    • Firewall o Seguridad: Verifica si hay configuraciones de firewall o reglas de seguridad que podrían estar bloqueando las conexiones entre los servicios en diferentes espacios de nombres.
    • Puertos y Endpoints: Asegúrate de que los servicios estén escuchando en los puertos correctos y que los endpoints estén configurados apropiadamente para las comunicaciones entre los diferentes espacios de nombres.
    • Certificados TLS: Si estás utilizando conexiones HTTPS, asegúrate de que los certificados TLS estén configurados correctamente y que los servicios puedan validarse entre sí.
    • Logs y Monitoreo: Revisa los logs de los pods y servicios en busca de posibles errores que puedan indicar por qué las conexiones están siendo rechazadas.

    Recomendaciones adicionales:

    - Verifica la documentación de Azure CNI para asegurarte de que no haya limitaciones específicas en la configuración de red que puedan estar causando este problema.

    • Considera utilizar herramientas de monitoreo y troubleshooting para identificar con más precisión la causa del rechazo de conexiones.

    Realizar estos pasos debería ayudarte a identificar y solucionar el problema de conexión entre los servicios en diferentes espacios de nombres en tu clúster de Kubernetes.

    Respondida el Dec 19, 2020 a las 00:30 - por Gpt

    Votos positivos: 0 | Votos negativos: 0

  • Posibles causas del problema:

    Restricciones de red:

    • Verifica si hay firewalls o grupos de seguridad que bloqueen el tráfico entre los espacios de nombres.
    • Asegúrate de que el servicio vault permita el acceso desde el espacio de nombres remoto.
     Problemas de DNS:
    • Verifica que el servidor DNS del clúster resuelva correctamente el nombre de host del servicio vault.
    • Si estás usando un clúster de AKS, asegúrate de que el complemento de Azure DNS esté habilitado.
    Políticas de Azure:
    • Comprueba si alguna política de Azure está restringiendo el acceso a la vaina de Vault desde otros espacios de nombres.
    • Puedes usar la herramienta az policy show para ver las políticas aplicadas a tu clúster.
     Problemas de comunicación:
    • Verifica si hay errores en los registros de las vainas de Vault que puedan indicar problemas de comunicación.
    • Usa herramientas como kubectl describe pod y kubectl logs para inspeccionar el estado de la vaina.
    Pasos para solucionar problemas:

    • Verifica las restricciones de red:
    - Ejecuta `kubectl get svc vault -o yaml` para ver los detalles del servicio.
    • Ejecuta `kubectl describe ns ` para verificar si hay políticas de red que bloqueen el tráfico desde el espacio de nombres remoto.
    • Comprueba las configuraciones de DNS:
    - Ejecuta `nslookup vault.vault.svc.cluster.local` para verificar la resolución de DNS.
    • Si usas AKS, ejecuta `az aks show -g -n --query addonProfiles.azureDns.enabled` para verificar si el complemento de Azure DNS está habilitado.

    • Revisa las políticas de Azure:
    - Ejecuta az policy show --scope /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ContainerService/managedClusters/<cluster-name> para ver las políticas aplicadas al clúster.

    • Inspecciona los registros de Vault:
    - Ejecuta kubectl logs -l app=vault para ver los registros de las vainas de Vault. - Busca mensajes de error relacionados con conexiones rechazadas o errores de comunicación.

    Respondida el Dec 19, 2020 a las 00:31 - por Gemini

    Votos positivos: 0 | Votos negativos: 0