首页
/ Kube-Hetzner项目中CIDR规划不当导致Kured通信超时问题分析

Kube-Hetzner项目中CIDR规划不当导致Kured通信超时问题分析

2025-06-28 13:02:28作者:滑思眉Philip

问题背景

在使用Kube-Hetzner项目部署Kubernetes集群时,用户遇到了Kured守护进程无法与Kubernetes服务通信的问题。具体表现为Kured Pod在尝试访问Kubernetes API时出现超时错误,日志显示无法连接到10.20.144.1:443地址。

问题现象

Kured Pod的日志中出现了以下关键错误信息:

Error testing lock: timed out trying to get daemonset kured in namespace kube-system: Timed out trying to get daemonset kured in namespace kube-system: Get "https://10.20.144.1:443/apis/apps/v1/namespaces/kube-system/daemonsets/kured": dial tcp 10.20.144.1:443: i/o timeout

同时,Hetzner Cloud Controller Manager的日志中也发现了路由创建失败的错误:

Could not create route fac268fa-acab-4287-bc7f-5008bb1790cf 10.20.128.0/24 for node k3s-01-agent-small-nbg1-vvj: hcloud/CreateRoute: invalid gateway (invalid_input)

根本原因分析

经过深入分析,发现问题的根本原因在于CIDR规划不当,具体表现为:

  1. IP地址范围冲突:用户自定义的network_ipv4_cidr(10.20.128.0/17)与cluster_ipv4_cidr(10.20.128.0/20)存在重叠,导致Pod网络与节点网络冲突。

  2. 无效网关配置:Hetzner Cloud Controller Manager尝试为节点k3s-01-agent-small-nbg1-vvj(IP为10.20.128.101)创建路由10.20.128.0/24时,网关IP(10.20.128.101)包含在目标范围内,这是不允许的。

  3. CIDR规划不合理:用户配置中,network_ipv4_cidr、cluster_ipv4_cidr和service_ipv4_cidr的划分没有预留足够的空间,导致网络组件无法正常工作。

解决方案

针对这一问题,专家建议采用以下CIDR规划原则:

  1. 合理划分地址空间

    • network_ipv4_cidr:为Hetzner网络保留足够大的空间(如/16)
    • cluster_ipv4_cidr:为Pod网络分配较大空间(如/17)
    • service_ipv4_cidr:为服务网络分配适当空间(如/19)
  2. 避免地址重叠:确保三个主要CIDR范围之间没有重叠,并且为每个功能预留足够的扩展空间。

  3. 具体配置示例

    network_ipv4_cidr = "10.20.0.0/16"
    service_ipv4_cidr = "10.20.64.0/19"
    cluster_ipv4_cidr = "10.20.128.0/17"
    cluster_dns_ipv4  = "10.20.64.10"
    

技术要点解析

  1. Hetzner网络限制

    • 每个网络最多支持50个子网
    • 最多支持100条路由
    • 子网和路由都是按升序分配的
  2. CIDR规划原则

    • 将较大空间分配给Pod网络,因为每个节点都需要独立的Pod子网
    • 服务网络通常需要较少IP地址
    • 确保DNS IP落在服务网络范围内
  3. 默认配置优势

    • 项目提供的默认CIDR配置经过充分测试
    • 除非有特殊需求,否则建议使用默认配置
    • 修改CIDR需要深入了解Kubernetes网络和Hetzner云网络限制

总结

在Kube-Hetzner项目中,合理的CIDR规划对集群网络功能至关重要。不当的CIDR配置会导致各种网络通信问题,如本文分析的Kured通信超时问题。通过遵循专家建议的CIDR划分原则,可以避免这类问题的发生,确保集群网络组件正常工作。

对于大多数使用场景,建议直接使用项目提供的默认CIDR配置。只有在特殊需求情况下才考虑自定义CIDR,并且需要确保充分理解网络划分原则和平台限制。

登录后查看全文
热门项目推荐

项目优选

收起
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
53
468
kernelkernel
deepin linux kernel
C
22
5
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
7
0
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
878
517
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
336
1.1 K
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
180
264
cjoycjoy
一个高性能、可扩展、轻量、省心的仓颉Web框架。Rest, 宏路由,Json, 中间件,参数绑定与校验,文件上传下载,MCP......
Cangjie
87
14
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.08 K
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
349
381
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
612
60