Troubleshooting Internal Networking

Kubernetes cluster'ınızda iki uygulama aniden birbiriyle konuşmayı kestiğinde, sorunun kaynağını bulmak samanlıkta iğne aramaya benzeyebilir. Sorun DNS'te mi? Güvenlik duvarında mı? Yoksa etiketlerde mi (labels) bir yazım hatası var?

Kaos içinde kaybolmamak için Kubernetes ağ mimarisini 4 mantıksal katmana ayırmalı ve sorunu aşağıdan yukarıya doğru (altyapıdan uygulamaya) izole etmeliyiz. İşte ağ sorunlarını çözerken izlemeniz gereken 4 adımlı standart prosedür.

1. Katman: CNI

Container Network Interface (CNI), Kubernetes'in fiziksel ağ kablosudur (Örn: Cilium, Calico, Flannel). Eğer CNI çalışmıyorsa, üstteki hiçbir şey çalışmaz.

Nasıl Kontrol Edilir?

Tüm CNI eklentileri arka planda kube-system namespace'i içinde birer Pod olarak çalışır. İlk iş olarak tesisatın çöküp çökmediğine bakmalıyız:

• kubectl get pods -n kube-system komutunu çalıştırın. CNI pod'larında sürekli bir yeniden başlama (CrashLoopBackOff) var mı?

• Eğer Cilium kullanıyorsanız, sunucuların (Node) ağ durumunu görmek için terminale doğrudan cilium status yazabilirsiniz.

• Node sağlığını kontrol edin. Alt yapıda Docker veya Containerd gibi runtime'ların ayakta olduğundan emin olun.

2. Katman: Network Policies

Tesisat sağlam ama trafik hala geçmiyor mu? Belki de görünmez bir güvenlik görevlisi kapıyı tutuyordur. Network Policies, Kubernetes'in iç güvenlik duvarıdır. Yanlış yazılmış bir kural, trafiği sessizce (hiçbir hata mesajı vermeden) engeller.

En Sık Yapılan Hatalar ve Çözümleri:

• Gizli Bloklar: Boş bırakılmış bir Network Policy, varsayılan olarak o namespace'e gelen veya giden tüm trafiği engeller. kubectl get networkpolicies --all-namespaces komutuyla devrede olan kuralları listeleyin.

• Etiket Uyuşmazlığı: podSelector veya namespaceSelector kısmındaki etiketleri kontrol edin. Kurallar doğru uygulamaları hedefliyor mu?

• Manuel Test: İzin verildiğini düşündüğünüz iki Pod arasına girip fiziksel test yapın:

  kubectl exec -it test-pod -- nc -zv <hedef-pod-ip> 80

3. Katman: Service Discovery ve DNS

Güvenlik duvarında sorun yok ama uygulamanız "Böyle bir adres bulunamadı" hatası alıyor. Bu durum, içerideki telefon rehberinin (CoreDNS) çöktüğünü gösterir.

DNS Sorunlarını Nasıl Yakalarız?

• CoreDNS Sağlığı: Tıpkı CNI gibi, DNS de kube-system içinde çalışır. kubectl get pods -n kube-system -l k8s-app=kube-dns komutuyla DNS pod'larının Running durumunda olduğundan emin olun. Gerekirse kubectl logs ile loglarına bakın.

• İçeriden Çözümleme Testi: Sorun yaşayan Pod'un içine girip bir DNS sorgusu atın:

  nslookup kubernetes.default veya nslookup hedef-servis.namespace.svc.cluster.local

• Yapılandırma Hatası: DNS sunucunuz yanıt vermiyorsa, yanlış bir ayar yapılmış olabilir. kubectl get configmap coredns -n kube-system -o yaml ile konfigürasyon dosyasını inceleyin.

4. Katman: Services, Endpoints ve Pods

Kablolar sağlam, güvenlik duvarı açık, DNS adresi çözümlüyor ama hala bağlantı yok! Sorun çok büyük ihtimalle YAML dosyanızdaki ufak bir insan hatasıdır.

Adım Adım Eşleştirme Kontrolü:

• Pod'lar Hayatta mı? Trafiğin gideceği hedef Pod'lar gerçekten ayakta mı? CrashLoopBackOff durumundalarsa, servis onlara trafik göndermez.

• Etiket (Label) Eşleşiyor mu? Servisinizin YAML dosyasındaki spec.selector ile Pod'unuzun etiketleri harfi harfine aynı olmak zorundadır. Aksi takdirde servisiniz "kör" olur.

• Endpoint Listesi Dolu mu? kubectl get endpoints <servis-adi> komutunu çalıştırın. Eğer karşısında IP adresleri yerine <none> yazıyorsa, servisiniz hiçbir Pod'u bulamamış demektir.

• Port Karmaşası: Servisin port değeri ile uygulamanın dinlediği targetPort değerinin birbirini tuttuğundan emin olun.

Altın İpucu (Port-Forward):

Sorunun Service nesnesinde olup olmadığını kesin olarak anlamak için servisi aradan çıkarın! kubectl port-forward <pod-adi> 8080:80 komutuyla doğrudan Pod'a kendi bilgisayarınızdan bağlanın. Uygulama cevap veriyorsa sorun Pod'da değil, önündeki Service tanımındadır.