Node-to-Node-Traffic: Diagnose, die oft in die falsche Richtung geht

Node-to-Node-Traffic: Diagnose, die oft in die falsche Richtung geht – genau dieses Muster sieht man in Kubernetes- und Cloud-Umgebungen immer wieder. Sobald Pods auf unterschiedlichen Nodes miteinander sprechen (oder ein Service-Request über mehrere Nodes läuft), entsteht Node-to-Node-Traffic. Wenn dann Timeouts, sporadische Paketverluste, ungewöhnliche Latenzspitzen oder „nur manchmal“ erreichbare Services auftreten, wird häufig reflexartig an der falschen Stelle gesucht: im Pod, im Service, in der Application oder in der NetworkPolicy. Dabei liegt die Ursache bei Node-to-Node-Problemen sehr oft eine Ebene tiefer – im Underlay (VPC/VNet/Subnet-Routing), in Sicherheitsgruppen/Firewall-Regeln, in MTU und Encapsulation, in Conntrack-Kapazitäten oder in asymmetrischen Pfaden zwischen Nodes. Das Problem wird zusätzlich dadurch verschleiert, dass viele Tests innerhalb eines Nodes (Pod-to-Pod auf demselben Host) weiterhin funktionieren, während nur die cross-node Kommunikation scheitert. Wer Node-to-Node-Traffic systematisch diagnostiziert, spart nicht nur Zeit, sondern verhindert auch gefährliche „Fixes“ wie pauschales Öffnen von Firewalls oder das Deaktivieren von Security-Controls. Dieser Artikel zeigt eine praxistaugliche Methodik, um Node-to-Node-Probleme sauber einzugrenzen, typische Fehlannahmen zu vermeiden und die wirkliche Ursache zu finden – unabhängig davon, ob Sie Overlay (VXLAN/Geneve), native Routing-Modelle oder Cloud-CNI einsetzen.

Was „Node-to-Node-Traffic“ in der Praxis bedeutet

Node-to-Node-Traffic ist nicht einfach „Traffic zwischen zwei Servern“. In Kubernetes bezeichnet er meist Datenverkehr, der einen Node verlassen muss, um ein Ziel auf einem anderen Node zu erreichen. Das betrifft mehrere typische Pfade:

• Pod zu Pod (cross-node): Ein Pod auf Node A spricht direkt mit der Pod-IP auf Node B.
• Pod zu Service (cross-node): Ein Pod spricht eine Service-IP an; das ausgewählte Backend liegt auf einem anderen Node.
• Ingress/Gateway zu Backend: Ein Ingress Controller oder Gateway-Deployment empfängt Traffic und leitet an Backends auf anderen Nodes weiter.
• Control-Plane- und System-Traffic: kubelet, CNI, Container Runtime, CoreDNS, Metrics-Server und andere Add-ons erzeugen ebenfalls cross-node Flows.

Je nach CNI und Netzmodell wird dieser Traffic entweder über ein Overlay (Encapsulation) transportiert oder über native Routen im Underlay. In beiden Fällen kann eine Störung auf Node-Ebene sehr weitreichend sein, weil sie nicht nur eine Anwendung betrifft, sondern ganze Service-Ketten.

Warum die Diagnose oft in die falsche Richtung geht

Die falsche Richtung entsteht meist durch ein trügerisches Erfolgserlebnis: Innerhalb eines Nodes ist vieles weiterhin erreichbar. Ein Debug-Pod auf Node A kann die lokale Pod-IP erreichen, lokale DNS-Cache-Effekte wirken „normal“, und einzelne Requests gehen sogar durch. Sobald jedoch ein Scheduler-Reschedule passiert oder Lastverteilung andere Endpoints auswählt, tritt der Fehler wieder auf. Das führt zu typischen Fehlschlüssen:

• „Die App ist kaputt“: In Wahrheit ist nur die cross-node Konnektivität instabil.
• „Der Service ist falsch“: Der Service ist korrekt, aber ein Teil der Endpoints liegt auf einem gestörten Node.
• „DNS spinnt“: DNS ist nur Kollateralschaden, weil UDP/Conntrack/MTU-Probleme Requests droppen.
• „NetworkPolicy blockiert“: Policies können blockieren, aber Node-to-Node-Probleme sind oft Underlay/MTU/Firewall.

Die wichtigste Korrektur im Kopf: Wenn ein Problem nur dann auftritt, wenn Quelle und Ziel auf unterschiedlichen Nodes liegen, ist es sehr wahrscheinlich ein Node-to-Node-Thema – und nicht primär ein Pod- oder Service-Objekt-Thema.

Erster Schritt: Das Problem als Cross-Node-Phänomen beweisen

Bevor Sie tiefer gehen, sollten Sie möglichst eindeutig zeigen, dass das Problem an Node-Grenzen hängt. Dazu ist es hilfreich, Tests bewusst zu „steuern“, statt zufällige Pods zu verwenden.

• Vergleichstest: Testen Sie Pod-to-Pod innerhalb desselben Nodes und anschließend cross-node.
• Endpoint-Steuerung: Testen Sie einen Service mit Backends auf mehreren Nodes; beobachten Sie, ob nur ein Teil der Backends fehlschlägt.
• Node-Affinität: Platzieren Sie Test-Pods gezielt auf Node A und Node B, um reproduzierbare Pfade zu erzeugen.
• Symptomklassifikation: Timeouts deuten häufig auf Drops/MTU/Firewall hin, während sofortige Resets eher Applikation/Proxy/Listener nahelegen.

Das Ziel ist, die Frage „Ist es wirklich Node-to-Node?“ nicht gefühlt, sondern evidenzbasiert zu beantworten. Erst dann lohnt es sich, Underlay, Encapsulation und Node-Firewall-Mechanik zu prüfen.

Die häufigsten Ursachen: Ein mentaler Katalog, der die Suche verkürzt

Node-to-Node-Probleme sind selten exotisch. In den meisten Umgebungen landen Sie bei wenigen wiederkehrenden Ursachen. Der Trick ist, diese Ursachen nicht als Liste zu betrachten, sondern als Cluster von Mechanismen: Routing, Filter, Encapsulation, State und Kapazität.

• Underlay-Routing/Peering: falsche Routen zwischen Subnetzen, fehlende Peering-Routen, NVA-/Firewall-Umwege.
• Sicherheitsgruppen/Firewall-Regeln: Node-to-Node Ports/Protokolle nicht erlaubt (z. B. Overlay UDP, BGP, IP-in-IP).
• MTU/Fragmentierung: Encapsulation reduziert effektive MTU; große Pakete droppen, kleine funktionieren.
• Conntrack/Kapazität: ein Node ist unter Last conntrack-full oder CPU-saturiert und dropt neue Flows.
• Asymmetrische Pfade: Hinweg und Rückweg laufen unterschiedlich; State/NAT/Firewall bricht.
• CNI-spezifische Fehler: Tunnel-Endpunkte falsch, iptables-Programme fehlerhaft, eBPF-Maps überlastet.

Underlay vs. Overlay: Der entscheidende Unterschied für die Fehlersuche

Ob Ihr Cluster ein Overlay nutzt (z. B. VXLAN oder Geneve) oder native Routen im Underlay, bestimmt, welche Ports und Protokolle überhaupt zwischen Nodes fließen. Ein klassischer Diagnosefehler ist, nur „Pod-IP zu Pod-IP“ zu betrachten und dabei zu vergessen, dass sich darunter ein anderer Transport versteckt.

Overlay: Wenn Pod-Traffic in UDP verpackt wird

Bei Overlay-CNIs wird Pod-Traffic zwischen Nodes häufig in UDP gekapselt. Das bedeutet: Das Underlay sieht nicht „Pod IP → Pod IP“, sondern „Node IP → Node IP“ auf einem bestimmten UDP-Port (je nach CNI). Wenn dieser UDP-Traffic durch Firewalls oder Security Groups eingeschränkt ist, scheitert Node-to-Node-Kommunikation, obwohl alle Pod-Objekte korrekt aussehen. Zusätzlich entsteht MTU-Overhead, der bei großen Paketen besonders auffällt.

Native Routing: Wenn das Underlay Pod-Routen kennen muss

Bei nativen Routing-Modellen muss das Underlay wissen, wie Pod-Netze erreichbar sind. Das kann über BGP, statische Routen, Cloud-Routing oder Controller-spezifische Mechanismen passieren. Wenn Pod-CIDRs nicht korrekt geroutet werden, sehen Sie „No route to host“, starke Paketverluste oder Flapping, sobald Pods rescheduled werden.

Grundlagen zum Kubernetes Networking und den Anforderungen an Pod-Konnektivität sind in den offiziellen Konzepten beschrieben: Kubernetes Networking Concepts.

MTU: Der Klassiker, der wie „zufällige“ App-Fehler wirkt

MTU-Probleme sind berüchtigt, weil sie sich selten als klarer Fehler melden. Häufig funktionieren kleine Requests (z. B. Healthchecks, kurze HTTP-Antworten), während größere Payloads (z. B. TLS-Handshakes mit großen Zertifikatsketten, gRPC-Messages, JSON-Payloads) sporadisch droppen. In Overlay-Setups reduziert Encapsulation die effektive MTU. Wenn der Underlay-Link oder Zwischenkomponenten keine Fragmentierung erlauben oder ICMP „Fragmentation Needed“ blockieren, sieht die Anwendung nur Timeouts.

Typische MTU-Symptome bei Node-to-Node

• „Kleine Requests gehen, große nicht“
• Handshake-Probleme bei TLS, aber HTTP im Klartext funktioniert
• gRPC wirkt instabil, REST scheint „meistens ok“
• Fehler treten nur cross-node auf, nicht innerhalb eines Nodes

Praktisch bedeutet das: MTU ist kein „Tuning-Thema“, sondern oft eine harte Ursache. Besonders bei Tunneln und verschlüsselten Underlays (IPsec/WireGuard) sollten Sie MTU bewusst planen und testen.

Firewall, Security Groups und „unsichtbare“ Node-to-Node-Ports

Viele Teams prüfen bei Netzwerkproblemen nur die Service-Ports der Anwendung (z. B. 80/443) und vergessen die Node-to-Node-Ports, die das CNI oder das Routing-Protokoll benötigt. Bei Overlay kann das ein UDP-Port sein, bei nativen Routen kann BGP relevant sein, und bei bestimmten CNIs gibt es zusätzliche Health- und Control-Traffic-Komponenten. Wenn diese Ports in Security Groups, NACLs oder Host-Firewalls blockiert sind, scheitert die Kommunikation auf Transportebene, bevor Kubernetes überhaupt „in Sichtweite“ kommt.

• Underlay-Regeln: erlauben Node-IP zu Node-IP Verkehr auf den benötigten Protokollen
• Host-Firewall: iptables/nftables auf dem Node kann CNI-Traffic beeinflussen
• Cloud-Firewalls: NACLs/NSGs wirken stateless oder haben eigene Reihenfolgenlogik

Wenn Sie Ingress/Service-Diagnosen „zu hoch“ starten, fehlt Ihnen dieser Blick. Bei Node-to-Node-Problemen lohnt sich ein frühes Prüfen der Underlay-Regeln, bevor Sie an YAML-Objekten drehen.

Conntrack und Node-Kapazität: Warum ein einzelner Node „random“ Probleme macht

Node-to-Node-Probleme wirken häufig zufällig, wenn nur ein Teil der Nodes betroffen ist. Ein typischer Grund ist Conntrack-Kapazität oder CPU-Sättigung durch Netzfilter und NAT. Sobald Conntrack-Tabellen voll laufen oder Paketverarbeitung auf dem Node zu langsam wird, droppen neue Flows. Dadurch entsteht ein Muster: Einige Service-Requests funktionieren, andere nicht – je nachdem, auf welchen Node der Load Balancer oder Service-Mechanismus gerade routet.

• Viele kurzlebige Verbindungen: füllen Conntrack schneller als erwartet
• Retry-Stürme: verstärken das Problem und erzeugen eine Lastspirale
• Ingress/Gateway-Knoten: tragen oft überproportional viel Traffic und sind zuerst betroffen

Für Kontext zu kube-proxy und Service-Implementierung lohnt sich die offizielle Referenz: kube-proxy Dokumentation.

Asymmetrische Pfade: Wenn der Rückweg nicht dorthin führt, wo Sie ihn erwarten

Asymmetrisches Routing ist eine der Ursachen, die besonders viel Zeit kosten, weil einfache „Ping“- oder „Port“-Tests manchmal funktionieren, während echte Applikationsflüsse scheitern. Asymmetrie entsteht, wenn Hinweg und Rückweg unterschiedliche Netzpfade nehmen. In Cloud-Setups kann das durch zentrale Firewalls, Transit Gateways, unterschiedliche Route Tables oder Policy Based Routing passieren. In Kubernetes kann zusätzlich SNAT/NodePort-Verhalten dazu beitragen.

Warum Asymmetrie Node-to-Node so oft trifft

• Overlay-Traffic geht direkt Node-to-Node, Rückweg läuft über eine zentrale Firewall
• Mehrere Route Tables pro Subnet/Nodepool, nicht konsistent gepflegt
• SNAT versteckt die ursprüngliche Quelle, Rücktraffic nimmt unerwartete Wege

Wenn Statefulness im Spiel ist (Conntrack, Firewalls, NAT), ist Asymmetrie besonders gefährlich. Sie sehen dann häufig Timeouts oder Verbindungen, die „halb aufbauen“ und dann hängen bleiben.

Service- und Ingress-Effekte: Warum Node-to-Node-Probleme manchmal wie „Service kaputt“ aussehen

Ein häufiger Diagnosefehler ist, Node-to-Node-Probleme mit Service-Logik zu verwechseln. Services verteilen Traffic auf Endpoints. Wenn nur bestimmte Nodes gestört sind, werden genau die Requests fehlschlagen, die auf Backends auf diesen Nodes treffen. Das erzeugt Flapping: 8 von 10 Requests gehen durch, 2 timeouten, dann wieder anders. Ingress verstärkt das oft, weil Ingress Controller selbst zusätzliche Node-to-Node-Hopps erzeugen (Ingress → Service → Backend-Pod).

• Symptom: 502/504 oder Timeouts am Ingress
• Realität: Backend-Endpunkte auf bestimmten Nodes nicht erreichbar
• Fehlannahme: „Ingress-Regeln falsch“ statt „Node-to-Node-Pfad instabil“

Eine saubere Fehlertrennung erreichen Sie, indem Sie zuerst direkte Pod-IP-Tests durchführen und erst danach Service- und Ingress-Layer prüfen.

Diagnose-Playbook: Schritt für Schritt zur echten Ursache

Die folgenden Schritte sind bewusst so gewählt, dass Sie nicht „nach Bauchgefühl“ springen, sondern den Datenpfad systematisch abarbeiten. Das reduziert die Wahrscheinlichkeit, in die falsche Richtung zu laufen.

• 1) Node-Korrelation herstellen: Tritt der Fehler nur bei bestimmten Nodes auf? Gibt es einen Nodepool, der auffällig ist?
• 2) Cross-node beweisen: Lokale Pod-to-Pod-Kommunikation vs. cross-node vergleichen.
• 3) Pfad isolieren: Pod-IP direkt testen, dann Service-IP, dann Ingress/DNS.
• 4) Underlay prüfen: Subnet-Routen, Peering/Transit, Security Groups/NSGs/NACLs für Node-to-Node.
• 5) Overlay/Encapsulation prüfen: Ist der Tunnel-Traffic erlaubt? Gibt es Drops oder MTU-Mismatches?
• 6) MTU testen: Verhalten bei großen Payloads prüfen, Fragmentierung/ICMP beachten.
• 7) Node-Health prüfen: CPU/IRQ, conntrack-Nutzung, Paketdrops auf dem betroffenen Node.
• 8) Asymmetrie ausschließen: Rückwege und zentrale Firewalls/Transit-Pfade auf Konsistenz prüfen.
• 9) Erst danach Kubernetes-Objekte anpassen: Service-Selector, NetworkPolicy, Ingress-Settings nur ändern, wenn der Pfad darunter stabil ist.

Typische Anti-Patterns: Fixes, die kurzfristig wirken, langfristig schaden

Wenn die Diagnose in die falsche Richtung geht, entstehen oft „Fixes“, die das System weniger sicher und weniger stabil machen. Gerade bei Node-to-Node-Problemen sind diese Anti-Patterns verbreitet:

• „Firewall ganz auf“: kurzfristig Erfolg, langfristig unkalkulierbare Angriffsfläche und Compliance-Risiko.
• „NetworkPolicy deaktivieren“: kaschiert Underlay-/MTU-Probleme nicht zuverlässig und zerstört Governance.
• „Service neu erstellen“: ändert nichts am Node-to-Node-Pfad, erzeugt aber zusätzliche Unruhe im Incident.
• „CNI wechseln im Incident“: hohes Risiko, weil sich Pfade, MTU und Policy-Enforcement gleichzeitig ändern.
• „Nur mehr Ressourcen“: hilft bei Conntrack/CPU manchmal, verschiebt aber MTU/Firewall/Routing-Probleme nicht.

Change Safety bedeutet hier: Erst die Transportebene stabilisieren, dann erst Optimierungen oder Architekturwechsel planen.

Prävention: Wie Sie Node-to-Node-Probleme seltener machen

Viele Node-to-Node-Probleme entstehen durch fehlende Standards in Routing, Security und Observability. Prävention ist daher weniger „ein Tool“, sondern ein Set an Baselines, das Sie durchsetzen.

• MTU-Standard definieren: Underlay- und Overlay-MTU sauber planen, Encapsulation-Overhead berücksichtigen.
• Node-to-Node Regeln dokumentieren: Welche Protokolle/Ports braucht Ihr CNI tatsächlich?
• Observability verpflichtend: Flow Logs (Cloud), CNI-Logs, Node-Netzmetriken, Drop-Alerts.
• Nodepools trennen: Ingress/Gateway/egress-lastige Workloads separat betreiben und gezielt dimensionieren.
• Asymmetrie vermeiden: Konsistente Route Tables, klare Transit-Designs, keine versteckten Umwege.

Weiterführende Quellen für vertieftes Verständnis

• Kubernetes Networking Concepts: Anforderungen und Modell
• Kubernetes Services: Datenpfade und Service-Typen
• kube-proxy: Service-Umsetzung auf Node-Ebene
• CNI Grundlagen: Plugins und Zuständigkeiten
• NetworkPolicies: L3/L4-Policy und typische Fallstricke

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.