Flannel网络下IPv4连接外部服务偶发超时问题分析

问题现象

在使用Flannel VXLAN后端部署的Kubernetes集群中，Pod通过IPv4访问外部服务时出现间歇性连接超时现象。具体表现为：

1. 从Pod内部通过IPv4访问外部服务（如Google.com）时，约50%的概率出现连接超时
2. 同一Pod通过IPv6访问相同服务则100%成功
3. 直接从节点主机通过IPv4/IPv6访问均100%成功
4. 问题在Ubuntu 24.04系统、K3s v1.30.4+k3s1环境下出现

技术分析

网络流量追踪

通过tcpdump抓包分析发现：

• 成功连接时：TCP三次握手正常完成，SYN-SYN/ACK-ACK流程完整
• 失败连接时：仅有SYN包发出，未收到服务端响应，客户端持续重传SYN包

关键发现

深入排查后发现：

1. 云服务商防火墙默认不过滤IPv6流量，这解释了IPv6连接始终成功的原因
2. 防火墙规则中有一条针对"TCP established"连接的规则，仅允许目标端口32768-65535的ACK包通过
3. 当将此规则扩展为允许所有端口(0-65535)时，问题消失

根本原因

问题根源在于Linux内核的临时端口(ephemeral port)分配机制与防火墙规则的冲突：

1. Flannel使用iptables MASQUERADE进行NAT转换
2. 出站连接会使用临时端口作为源端口
3. 现代Linux系统默认临时端口范围为32768-60999（可通过/proc/sys/net/ipv4/ip_local_port_range查看）
4. 但某些网络环境下（特别是经过NAT后），实际使用的端口可能超出32768-65535范围

解决方案

推荐方案

调整云服务商防火墙规则，将TCP established规则的端口范围扩展为RFC 6056建议的1024-65535：

version ipv4, protocol TCP, target port 1024-65535, TCP-Flags ack -> action accept

替代方案

如需保持严格的端口限制，可考虑以下方法：

1. 调整节点的临时端口范围：

echo "1024 65535" > /proc/sys/net/ipv4/ip_local_port_range

2. 在K3s配置中明确指定Flannel的NAT端口范围（需验证具体参数）

技术背景

临时端口分配机制

TCP/IP协议中，当客户端发起出站连接时，如果没有明确指定源端口，系统会自动从临时端口范围内分配一个可用端口。传统Linux系统默认使用32768-60999范围，但实际行为可能受以下因素影响：

• 容器网络命名空间隔离
• NAT转换过程
• 连接跟踪(conntrack)机制

Flannel网络处理

Flannel VXLAN模式下，Pod到外部网络的通信流程：

1. Pod发出请求，源IP为Pod IP
2. 经过iptables MASQUERADE规则，源IP被替换为节点IP
3. 系统自动分配临时端口作为新连接的源端口
4. 数据包通过节点物理网卡发出

最佳实践建议

1. 生产环境中应统一规划防火墙规则与系统临时端口配置
2. 对于云环境，建议了解服务商的默认安全策略
3. 重要服务应考虑使用固定端口或明确指定连接参数
4. 定期检查系统的网络配置与实际流量模式的匹配情况

总结

该案例展示了云环境下容器网络与传统网络配置间的微妙交互问题。通过系统化的排查和分析，我们定位到了防火墙规则与Linux临时端口分配机制的不匹配这一根本原因。这类问题在混合IPv4/IPv6环境中尤为常见，需要网络管理员对协议栈各层行为有深入理解。