Kubernetes-libnftnl中的segfault.so.11.3.0在法兰绒CNI上

我有一个自我管理的Kubernetes集群，由一个主节点和3个工作节点组成。我使用集群内的集群网络接口

在我的所有机器上，我都可以看到以下类型的内核消息：

Apr 12 04:22:24 worker-7 kernel: [278523.379954] iptables[6260]: segfault at 88 ip 00007f9e69fefe47 sp 00007ffee4dff356 error 4 in libnftnl.so.11.3.0[7f9e69feb000+16000]
Apr 12 04:22:24 worker-7 kernel: [278523.380094] Code: bf 88 00 00 00 48 8b 2f 48 39 df 74 13 4c 89 ee 41 ff d4 85 c0 78 0b 48 89 ef 48 8b 6d 00 eb e8 31 c0 5a 5b 5d 41 5c 41 5d c3 <48> 8b 87 88 00 00 00 48 81 c7 78 00 00 00 48 39 f8 74 0b 85 f6 74
Apr 12 05:59:10 worker-7 kernel: [284329.182667] iptables[13978]: segfault at 88 ip 00007fb799fafe47 sp 00007fff22419b36 error 4 in libnftnl.so.11.3.0[7fb799fab000+16000]
Apr 12 05:59:10 worker-7 kernel: [284329.182774] Code: bf 88 00 00 00 48 8b 2f 48 39 df 74 13 4c 89 ee 41 ff d4 85 c0 78 0b 48 89 ef 48 8b 6d 00 eb e8 31 c0 5a 5b 5d 41 5c 41 5d c3 <48> 8b 87 88 00 00 00 48 81 c7 98 00 00 00 48 39 f8 74 0b 85 f6 74
Apr 12 08:29:25 worker-7 kernel: [293343.999073] iptables[16041]: segfault at 88 ip 00007fa40c7f7e47 sp 00007ffe04ba9886 error 4 in libnftnl.so.11.3.0[7fa40c7f3000+16000]
Apr 12 08:29:25 worker-7 kernel: [293343.999165] Code: bf 88 00 00 00 48 8b 2f 48 39 df 74 13 4c 89 ee 41 ff d4 85 c0 78 0b 48 89 ef 48 8b 6d 00 eb e8 31 c0 5a 5b 5d 41 5c 41 5d c3 <48> 8b 87 88 00 00 00 48 81 c7 98 00 00 00 48 39 f8 74 0b 85 f6 74

---

有人能解释一下这类信息的含义吗？这可能是硬件问题吗？从法兰绒切换到另一个kuberentes容器网络接口（CNI）有意义吗？例如？

正如debian buster在评论中已经提到的那样，debian buster使用支持的nftables而不是iptables：

注意：iptables正在被Debian Buster所取代-参考

不幸的是，nftables此时正与kubernetes合作

在Linux中，nftables是内核的iptables子系统的现代替代品。

iptables

工具可以充当兼容性层，其行为类似于iptables，但实际上是配置nftables。此nftables后端与当前的kubeadm软件包不兼容：它会导致重复的防火墙规则并破坏

kube代理

。您可以尝试切换到如上所述的遗留选项，但我不确定这个解决方案，因为我没有办法用您的操作系统测试它。我用这个解决了debian的类似案例

另一种方法是改用印花棉布，实际上它带有FELIX_IPTABLESBACKEND。此参数控制Felix使用的iptables二进制变量。将此设置为

Auto

，以自动检测后端。如果需要特定后端，则对使用netfilter后端的主机使用

NFT

，对其他主机使用

Legacy

。[默认值：

Auto

]

---

安装带有containerd的印花布时，请同时查看一个案例。

如评论中所述，debian buster使用支持的nftables而不是iptables：

注意：iptables正在被Debian Buster所取代-参考

不幸的是，nftables此时正与kubernetes合作

在Linux中，nftables是内核的iptables子系统的现代替代品。

iptables

工具可以充当兼容性层，其行为类似于iptables，但实际上是配置nftables。此nftables后端与当前的kubeadm软件包不兼容：它会导致重复的防火墙规则并破坏

kube代理

。您可以尝试切换到如上所述的遗留选项，但我不确定这个解决方案，因为我没有办法用您的操作系统测试它。我用这个解决了debian的类似案例

另一种方法是改用印花棉布，实际上它带有FELIX_IPTABLESBACKEND。此参数控制Felix使用的iptables二进制变量。将此设置为

Auto

，以自动检测后端。如果需要特定后端，则对使用netfilter后端的主机使用

NFT

，对其他主机使用

Legacy

。[默认值：

Auto

]

---

安装带有集装箱的印花布时，请同时查看一个箱子。

您是否查看了Apols@Ralph我在GH上看到您了！：）是的，但我仍然无法理解该消息试图告诉我什么？这只是libnftnl.so中的一个bug吗？我可以看到debian buster使用nftables而不是iptables，这与Kubernetes不兼容。Calico支持以FELIX_IPTABLESBACKEND为后盾的nft。我建议把CNI换成印花布。谢谢你的回复。我会试试印花布，我会把结果贴在这里。你看过Apols@Ralph了吗？我在GH上看到你了！：）是的，但我仍然无法理解该消息试图告诉我什么？这只是libnftnl.so中的一个bug吗？我可以看到debian buster使用nftables而不是iptables，这与Kubernetes不兼容。Calico支持以FELIX_IPTABLESBACKEND为后盾的nft。我建议把CNI换成印花布。谢谢你的回复。我会试试印花布，我会在这里发布我的结果。我从法兰绒切换到，现在信息消失了。我从法兰绒切换到，现在信息消失了。

Failed to ensure iptables rules: Error checking rule existence: failed to check rule existence: running [/sbin/iptables -t filter -C FORWARD -s 10.244.0.0/16 -j ACCEPT --wait]: exit status -1:
Failed to ensure iptables rules: Error checking rule existence: failed to check rule existence: running [/sbin/iptables -t nat -C POS TROUTING -s 10.244.0.0/16 ! -d 224.0.0.0/4 -j MASQUERADE --random-fully --wait]: exit status -1: