我想在 Kubernetes(kube-proxy)开始发挥其魔力之前实现我自己的 iptables 规则,并根据节点上运行的服务/pod 动态创建规则。 kube-proxy 正在 --proxy-mode=iptables
中运行。
每当我尝试在启动节点时加载规则(例如在 INPUT
链中)时,Kubernetes 规则(KUBE-EXTERNAL-SERVICES
和 KUBE -FIREWALL
)被插入到链的顶部,即使我的规则也带有 -I
标志。
我错过了什么或做错了什么?
如果有某种相关性,我正在为 pod 网络使用 weave-net 插件。
最佳答案
最常见的做法是将所有自定义防火墙规则放在网关 ( ADC ) 或云端 security groups 中。集群安全的其余部分由其他功能实现,例如 Network Policy (取决于网络providers),Ingress , RBAC以及其他。
查看有关 Securing a Cluster 的文章和 Kubernetes Security - Best Practice Guide .
这些文章也有助于保护您的集群:
关于kubernetes - 在 Kubernetes 节点上实现 iptables 规则,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51857978/