我想在Kubernetes(kube-proxy)开始魔术之前,先实现自己的iptables规则,然后根据在节点上运行的服务/容器动态创建规则。 kube-proxy在--proxy-mode=iptables
中运行。
每当我尝试在启动节点时加载规则时,例如在INPUT
链中,Kubernetes规则(KUBE-EXTERNAL-SERVICES
和KUBE-FIREWALL
)都会插入到链的顶部,甚至尽管我的规则也带有-I
标志。
我想念什么或做错什么了?
如果某种程度上相关,那么我正在为Pod网络使用weave-net插件。
答案 0 :(得分:1)
最常见的做法是将所有自定义防火墙规则放在网关(ADC)或云security groups中。其余的群集安全性由其他功能实现,例如Network Policy(取决于网络providers,Ingress,RBAC等)。
查看有关Securing a Cluster和Kubernetes Security - Best Practice Guide的文章。
这些文章也可以帮助保护您的群集: