kubernetes - 在 Kubernetes 节点上实现 iptables 规则

标签 kubernetes iptables kube-proxy

我想在 Kubernetes(kube-proxy)开始发挥其魔力之前实现我自己的 iptables 规则,并根据节点上运行的服务/pod 动态创建规则。 kube-proxy 正在 --proxy-mode=iptables 中运行。

每当我尝试在启动节点时加载规则(例如在 INPUT 链中)时,Kubernetes 规则(KUBE-EXTERNAL-SERVICESKUBE -FIREWALL)被插入到链的顶部,即使我的规则也带有 -I 标志。

我错过了什么或做错了什么?

如果有某种相关性,我正在为 pod 网络使用 weave-net 插件。

最佳答案

最常见的做法是将所有自定义防火墙规则放在网关 ( ADC ) 或云端 security groups 中。集群安全的其余部分由其他功能实现,例如 Network Policy (取决于网络providers),Ingress , RBAC以及其他。

查看有关 Securing a Cluster 的文章和 Kubernetes Security - Best Practice Guide .

这些文章也有助于保护您的集群:

关于kubernetes - 在 Kubernetes 节点上实现 iptables 规则,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51857978/

上一篇:使用 dplyr::filter() 删除 NA 观测值

下一篇:regex - VBA 6 : regex not recognizing complicated string

相关文章:

kubernetes - googleapi : Error 403: Quota 'BACKEND_SERVICES' exceeded.限制: 9. 0,quotaExceeded

linux - Docker 容器内的动态监听端口

kubernetes - Kube-Proxy-Windows CrashLoopBackOff

kubernetes - kube-proxy 如何在主机节点上运行 iptables 命令,同时在进程隔离容器内运行?

linux - 如何在不丢失原始目的地的情况下将 TCP 包重定向到代理?

kubernetes - kube-proxy 的可扩展性

amazon-web-services - AWS 上的 Kubernetes 和 Calico — 无法 ping 不同节点上的 pod

kubernetes - 在 headless 服务中访问或控制 SRV CNAME

azure - 集群自动缩放器无法使用 ACS-Engine 在 Azure 上从 0 开始扩展

linux - 将 Web 服务调用重定向到 http ://[remote server ip]:7777 to http://[local machine ip]:8888

©2024 IT工具网  联系我们