После обновления Arch Linux (sudo pacman -Syu) и перезагрузки системы Minikube не запускается из-за kube-proxy. Журналы показывают, что он пытался изменить /proc/sys/net/netfilter/nf_conntrack_max
, но столкнулся с проблемой отказа в разрешении.
Я попытался выполнить sudo chmod 777 /proc/sys/net/netfilter/nf_conntrack_max
, но система мне не разрешила. Я также удалил ~/.minikube
и запустил снова, но он все равно отказался работать. Та же проблема при запуске kind
. Может ли кто-нибудь сказать мне, как это исправить?
$ kubectl get pods -n kube-system
NAME READY STATUS RESTARTS AGE
coredns-74ff55c5b-2hkpd 0/1 Running 0 22s
etcd-minikube 0/1 Running 0 30s
kube-apiserver-minikube 1/1 Running 0 30s
kube-controller-manager-minikube 0/1 Running 0 30s
kube-proxy-qhhx9 0/1 Error 2 22s
kube-scheduler-minikube 0/1 Running 0 30s
storage-provisioner 1/1 Running 0 35s
kubectl logs kube-proxy-qhhx9 -n kube-system
I0511 04:47:08.189373 1 node.go:172] Successfully retrieved node IP: 192.168.49.2
I0511 04:47:08.189422 1 server_others.go:142] kube-proxy node IP is an IPv4 address (192.168.49.2), assume IPv4 operation
W0511 04:47:08.207109 1 server_others.go:578] Unknown proxy mode "", assuming iptables proxy
I0511 04:47:08.207314 1 server_others.go:185] Using iptables Proxier.
I0511 04:47:08.208192 1 server.go:650] Version: v1.20.2
I0511 04:47:08.209006 1 conntrack.go:100] Set sysctl 'net/netfilter/nf_conntrack_max' to 131072
F0511 04:47:08.209060 1 server.go:495] open /proc/sys/net/netfilter/nf_conntrack_max: permission denied
Версия ядра
$ uname -r
5.12.2-arch1-1
$ iptables --version
iptables v1.8.7 (legacy)
Возникает та же проблема, хотя и используется вид. FWIW помогает понизить версию ядра до 5.11.
измените maxPerCore
на 0 в configMap
из kube-proxy
, чтобы оставить ограничение как есть и игнорировать conntrack-min
Обновление до kind v0.11.1
решает эту проблему.
$ kind version
kind v0.11.1 go1.16.4 linux/amd64
$ uname -r
5.4.0-80-generic
Известная ошибка в виде
(см. issue #2240), вызванная изменением в версии 5.12.2 ядра, чтобы сделать nf_conntrack_max только для чтения в не-инициализированных сетевых пространствах имен (дополнительная информация в соответствующей фиксации)
Обходной путь был применен в виде
(PR), поэтому в других ответах упоминалось, что обновление вида
должно исправить это.