在Kubernetes节点上实现iptables规则

时间:2018-08-15 11:39:02

标签: kubernetes iptables kube-proxy

我想在Kubernetes(kube-proxy)开始魔术之前,先实现自己的iptables规则,然后根据在节点上运行的服务/容器动态创建规则。 kube-proxy在--proxy-mode=iptables中运行。

每当我尝试在启动节点时加载规则时,例如在INPUT链中,Kubernetes规则(KUBE-EXTERNAL-SERVICESKUBE-FIREWALL)都会插入到链的顶部,甚至尽管我的规则也带有-I标志。

我想念什么或做错什么了?

如果某种程度上相关,那么我正在为Pod网络使用weave-net插件。

1 个答案:

答案 0 :(得分:1)

最常见的做法是将所有自定义防火墙规则放在网关(ADC)或云security groups中。其余的群集安全性由其他功能实现,例如Network Policy(取决于网络providersIngressRBAC等)。

查看有关Securing a ClusterKubernetes Security - Best Practice Guide的文章。

这些文章也可以帮助保护您的群集: