首页
/ Cilium Hubble Relay 端口转发 TLS 配置问题解析

Cilium Hubble Relay 端口转发 TLS 配置问题解析

2025-06-18 03:00:49作者:伍霜盼Ellen
hubble
Cilium 是一个开源的 Kubernetes 网络插件和网络安全解决方案,用于管理和保护容器网络和应用程序。 * Kubernetes 网络插件和网络安全解决方案、管理和保护容器网络和应用程序 * 有什么特点:支持多种网络和安全功能、易于使用、用于云原生应用程序的开发和管理
项目地址:https://gitcode.com/gh_mirrors/hub/hubble

问题背景

在 Kubernetes 集群中使用 Cilium 网络插件时,Hubble 作为其网络可观测性组件,提供了流量监控和可视化功能。用户报告在使用 cilium hubble port-forward 命令进行端口转发后,无法通过本地 Hubble CLI 工具连接到 Hubble Relay 服务,出现 "error reading server preface: EOF" 错误。

环境配置

  • Cilium 版本:v1.14.5 升级至 v1.15.1
  • Hubble CLI 版本:0.13.0
  • Kubernetes 版本:v1.28.6
  • 集群拓扑:3 个 master 节点和 3 个 worker 节点

问题现象

用户尝试通过以下方式访问 Hubble 服务时遇到问题:

  1. 使用 cilium hubble port-forward 命令进行端口转发后,本地执行 hubble statushubble observe 命令失败
  2. 直接使用 kubectl port-forward 转发 hubble-relay 服务的 4245 端口同样失败
  3. 错误信息显示为:"failed to connect to 'localhost:4245': context deadline exceeded: connection error: desc = "error reading server preface: EOF""

排查过程

初步验证

  1. 验证 Cilium 组件状态正常,所有 pod 均处于 Running 状态
  2. 确认 hubble-relay 服务正常运行,端点正常
  3. 测试其他服务的端口转发功能正常,排除基础网络问题

深入分析

  1. 直接访问 Hubble 服务

    • 在 Cilium agent pod 内直接执行 hubble observe 命令可以获取流量数据
    • 但发现只能观察到所在节点的流量,无法获取集群全局视图

  2. 尝试连接 hubble-relay 服务

    • 发现 hubble-relay 服务监听在 443 端口(TLS 端口)
    • 直接连接时未启用 TLS 导致握手失败

  3. 端口转发行为分析

    • cilium hubble port-forward 默认转发的是 hubble-relay 的 4245 端口
    • 但服务端配置了强制 TLS,导致明文连接被拒绝

解决方案

问题的根本原因是 Hubble Relay 服务启用了 TLS,而客户端未正确配置 TLS 参数。通过以下步骤解决:

  1. 启用 Hubble CLI 的 TLS 配置:

    hubble config set tls true
hubble config set tls-allow-insecure true

  2. 验证配置生效:

    cat ~/.config/hubble/config.yaml

  3. 重新尝试连接:

    hubble status
hubble observe -n <namespace> --since 1m

技术原理

  1. Hubble 架构

    • 每个 Cilium agent 包含一个 Hubble 服务端,负责收集本节点的流量数据
    • hubble-relay 作为聚合服务,提供集群全局视图
    • 默认情况下,hubble-relay 使用 gRPC 协议,支持 TLS 加密

  2. TLS 握手过程

    • 客户端发起连接时,服务端会立即开始 TLS 握手
    • 如果客户端未启用 TLS,会导致协议不匹配,出现 "error reading server preface" 错误

  3. 安全考量

    • 生产环境建议配置完整的 TLS 证书链
    • 测试环境可以使用 tls-allow-insecure 跳过证书验证

最佳实践

  1. 端口转发建议

    • 明确服务监听的端口和协议
    • 对于加密服务,确保客户端配置匹配

  2. 故障排查步骤

    • 首先验证服务端是否正常运行
    • 检查网络连通性和端口访问性
    • 确认协议和加密配置的一致性

  3. 生产环境配置

    • 建议使用 Ingress 或 LoadBalancer 暴露 hubble-relay 服务
    • 配置完整的 TLS 证书,避免使用不安全选项

总结

Cilium Hubble 的 TLS 配置问题是一个常见的连接故障。通过正确理解 Hubble 的架构和通信协议,可以快速定位和解决这类问题。在微服务架构中,确保客户端和服务端的协议、加密配置一致是保证通信成功的关键。对于安全敏感的组件如 Hubble,建议在生产环境中使用完整的证书链配置,既保证安全性又确保可靠性。

hubble
Cilium 是一个开源的 Kubernetes 网络插件和网络安全解决方案,用于管理和保护容器网络和应用程序。 * Kubernetes 网络插件和网络安全解决方案、管理和保护容器网络和应用程序 * 有什么特点:支持多种网络和安全功能、易于使用、用于云原生应用程序的开发和管理
项目地址:https://gitcode.com/gh_mirrors/hub/hubble
登录后查看全文

相关内容推荐

1 Retina项目中Hubble-relay与Retina-agent的TLS连接问题分析2 Kubernetes kOps 1.30.2版本中Cilium Hubble组件故障分析3 Cilium v1.17.2 版本深度解析:网络性能优化与稳定性提升4 RKE2项目中Cilium组件Hubble指标配置问题解析5 Cilium Hubble v1.17.0 版本发布:增强网络可观测性与性能优化6 Kubernetes Kops项目中Hubble监控指标文档链接修正说明7 探索未来网络边界:Next-Gen Cilium CLI8 Cilium 1.17.0发布:云原生网络与安全的全面进化9 Cilium项目中SCTP协议与kube-proxy替换模式的兼容性分析10 Cilium 1.17.0-rc.2 版本深度解析:网络策略与性能优化
热门项目推荐
相关项目推荐

热门内容推荐

最新内容推荐

Zap.ts项目数据库系统深度解析:基于Drizzle ORM的现代化实践 LLM.Codes 项目解析:将现代文档转换为AI友好的Markdown格式 LLM-Codes项目部署指南:从开发到生产环境全流程解析 Cherrygram项目9.3.0版本更新深度解析 Roborazzi 1.45.0版本发布:修复Dialog背景遮罩与BoxWithConstraints兼容性问题 Coinbase OnchainKit 0.38.8版本发布:批量ENS解析与钱包交互优化 M9A项目v3.8.0版本发布:多平台适配与功能增强 FleetBase v0.7.0 版本发布:物流管理系统的全面升级 Godot-Game-Template项目v0.22.0版本发布:UI音效与音频系统优化 EDDiscovery 18.1.9版本更新:星际探索工具的全面升级

项目优选

收起
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
51
15
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
116
200
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
503
398
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
62
144
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
295
1.01 K
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
97
251
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
381
37
MateChatMateChat
前端智能化场景解决方案UI库,轻松构建你的AI应用,我们将持续完善更新,欢迎你的使用与建议。 官网地址:https://matechat.gitcode.com
692
91
RuoYi-Cloud-Vue3RuoYi-Cloud-Vue3
🎉 基于Spring Boot、Spring Cloud & Alibaba、Vue3 & Vite、Element Plus的分布式前后端分离微服务架构权限管理系统
Vue
97
74
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
357
341