Kube-Hetzner项目中CIDR规划不当导致Kured通信超时问题分析

问题背景

在使用Kube-Hetzner项目部署Kubernetes集群时，用户遇到了Kured守护进程无法与Kubernetes服务通信的问题。具体表现为Kured Pod在尝试访问Kubernetes API时出现超时错误，日志显示无法连接到10.20.144.1:443地址。

问题现象

Kured Pod的日志中出现了以下关键错误信息：

Error testing lock: timed out trying to get daemonset kured in namespace kube-system: Timed out trying to get daemonset kured in namespace kube-system: Get "https://10.20.144.1:443/apis/apps/v1/namespaces/kube-system/daemonsets/kured": dial tcp 10.20.144.1:443: i/o timeout

同时，Hetzner Cloud Controller Manager的日志中也发现了路由创建失败的错误：

Could not create route fac268fa-acab-4287-bc7f-5008bb1790cf 10.20.128.0/24 for node k3s-01-agent-small-nbg1-vvj: hcloud/CreateRoute: invalid gateway (invalid_input)

根本原因分析

经过深入分析，发现问题的根本原因在于CIDR规划不当，具体表现为：

1. IP地址范围冲突：用户自定义的network_ipv4_cidr(10.20.128.0/17)与cluster_ipv4_cidr(10.20.128.0/20)存在重叠，导致Pod网络与节点网络冲突。

2. 无效网关配置：Hetzner Cloud Controller Manager尝试为节点k3s-01-agent-small-nbg1-vvj(IP为10.20.128.101)创建路由10.20.128.0/24时，网关IP(10.20.128.101)包含在目标范围内，这是不允许的。

3. CIDR规划不合理：用户配置中，network_ipv4_cidr、cluster_ipv4_cidr和service_ipv4_cidr的划分没有预留足够的空间，导致网络组件无法正常工作。

解决方案

针对这一问题，专家建议采用以下CIDR规划原则：

1. 合理划分地址空间：

   • network_ipv4_cidr：为Hetzner网络保留足够大的空间(如/16)
   • cluster_ipv4_cidr：为Pod网络分配较大空间(如/17)
   • service_ipv4_cidr：为服务网络分配适当空间(如/19)

2. 避免地址重叠：确保三个主要CIDR范围之间没有重叠，并且为每个功能预留足够的扩展空间。

3. 具体配置示例：

   network_ipv4_cidr = "10.20.0.0/16"
   service_ipv4_cidr = "10.20.64.0/19"
   cluster_ipv4_cidr = "10.20.128.0/17"
   cluster_dns_ipv4  = "10.20.64.10"
   

技术要点解析

1. Hetzner网络限制：

   • 每个网络最多支持50个子网
   • 最多支持100条路由
   • 子网和路由都是按升序分配的

2. CIDR规划原则：

   • 将较大空间分配给Pod网络，因为每个节点都需要独立的Pod子网
   • 服务网络通常需要较少IP地址
   • 确保DNS IP落在服务网络范围内

3. 默认配置优势：

   • 项目提供的默认CIDR配置经过充分测试
   • 除非有特殊需求，否则建议使用默认配置
   • 修改CIDR需要深入了解Kubernetes网络和Hetzner云网络限制

总结

在Kube-Hetzner项目中，合理的CIDR规划对集群网络功能至关重要。不当的CIDR配置会导致各种网络通信问题，如本文分析的Kured通信超时问题。通过遵循专家建议的CIDR划分原则，可以避免这类问题的发生，确保集群网络组件正常工作。

对于大多数使用场景，建议直接使用项目提供的默认CIDR配置。只有在特殊需求情况下才考虑自定义CIDR，并且需要确保充分理解网络划分原则和平台限制。