docker - K8S iptables与Pod内的一个容器之间的关系-6ren

docker - K8S iptables与Pod内的一个容器之间的关系

转载作者：行者123 更新时间：2023-12-02 21:01:16

29

4

我已经在容器中启用了特权模式，并向其中添加了一条规则，

iptables -N udp2rawDwrW_191630ce_C0
iptables -F udp2rawDwrW_191630ce_C0
iptables -I udp2rawDwrW_191630ce_C0 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 4096 -j udp2rawDwrW_191630ce_C0

和 kt exec放入容器并使用 iptables --table filter -L，我可以看到添加的规则。

/ # iptables --table filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
udp2rawDwrW_191630ce_C0  tcp  --  anywhere             anywhere             tcp dpt:4096

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain udp2rawDwrW_191630ce_C0 (1 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

当我登录到容器所在的节点并运行 sudo iptalbes --table filter -L时，看不到相同的结果。

我在想默认情况下会丢弃 previleged，因为容器可能会利用它来更改节点中的iptables之类的内容，但是看起来并非如此。

所以我的问题是“K8S iptables与Pod中的一个容器之间的关系是什么”和“为什么我们要阻止用户修改没有 privileged字段的容器的iptables”？

最佳答案

如果您想操纵节点的iptables，那么您肯定需要将pod放置在主机的网络上(podt的hostNetwork: true中的spec)。之后，授予容器NET_ADMIN和NET_RAW功能(在containers[i].securityContext.capabilities.add中)就足够了。
示例json slice :

  "spec": {
    "hostNetwork": true,
    "containers": [{
      "name": "netadmin",
      "securityContext": {"capabilities": { "add": ["NET_ADMIN", "NET_RAW"] } }

我不确定特权模式最近是否与操纵主机的iptables有关。

关于docker - K8S iptables与Pod内的一个容器之间的关系，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60230369/

29

4

0

文章推荐： css - 覆盖 div 的绝对位置和高度 100% 不随滚动移动

文章推荐： php - 在 Wordpress/Timber 中获取当前类别 slug

文章推荐： hadoop - Hadoop:如何跟踪客户端和客户端 session ？

android - android : iptables-save and iptables-restore not working 中的 iptables 错误
我已经为启用了完整 netfilter 功能的 android 模拟器编译了 Linux。从源代码构建 android 后得到一个 iptables 二进制文件。当我将这个二进制文件推送到模拟器时
iptables - 最近使用 iptables 进行速率限制会出错
由于大量机器人每秒访问我的 Web 服务器太多次，我进入我的服务器并发出以下命令，试图在 5 秒内将连接限制为最多 25 个。我可能需要更严格，但我不是因为我有一个很少访问的页面，它请求 50 个图像
iptables - 使用 iptables 阻止网络机器人
我正在尝试阻止在短时间内打开大量连接的网络机器人。我正在使用这个语法: -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables - 在 IPTables 中记录丢弃的数据包？
我正在尝试在 iptables 中记录一些来自恶意 IP 地址的丢弃数据包，这些 IP 地址不断攻击我的服务器。来自这个恶意 IP 的所有内容都被丢弃，我不再在 Web 服务器日志中看到它，这是一件
iptables - 使用条件语句使用 iptables 的防火墙规则
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。这个问题似乎不是关于 a specific programming problem, a softwar
iptables - keepalived 在没有 iptables 的情况下也能正常工作
我已经设置了 keepalived，只有当我停止 iptables 服务时它才能正常工作。我的iptables配置是这样的，请告诉我应该为keepalived添加什么规则 # Firewall con
iptables - IPTables 关闭然后重新打开后 OpenStack 网络无法工作
我使用 DevStack 在 RHEL6 上安装了 OpenStack，并且运行良好。有一天，我们的一位“系统管理员”注意到 iptables 正在系统上运行，并决定将其关闭(chkconfig ip
iptables - iptables NEW STATE的 "definition"
测试环境为: 2 操作系统 ubuntu server 10.04 安装在 VirtualBox 上 iptables v1.4.4 已加载 ip_conntrack 模块这些是我的测试规则:
iptables - libvirt iptables 规则中断到我的 KVM 虚拟机的端口转发
当我清除 IPtables 然后添加以下规则时，传入连接可以毫无问题地连接到端口 1234 上的我的 KVM VM。 -A PREROUTING -i br0 -p tcp -m tcp --dpor
iptables - 从 iptables 最近列表中删除那些不在 ipset 中的条目
我正在为我的工作使用 iptables 最近的匹配项，因为它保存了 ip 地址和我需要的最后一次看到的值。但是现在我需要从 iptables 最近的列表中删除一些条目，这些条目位于 ipset 中。
iptables - 如何读取 iptables TRACE 日志(策略编号)
所以我加了 sudo iptables -t raw -A PREROUTING -p tcp --dport 25 -j TRACE 也 sudo iptables -t raw -A OUTPUT
iptables - 使用 iptables 转发端口到其他客户端，但可以识别原始发件人 ip
我在专用的 ubuntu 服务器上有一个防火墙(基于 iptables)。我有几个 LAN 客户端。在我的一个 LAN 客户端上，我正在运行可以根据 IP 限制访问的软件。对我来说，重要的是我可以通
c - Lipipq(iptables)。如何使用 iptables 队列将捕获的数据包重定向到另一个地址？
我不知道如何解决我的问题。是否可以使用 ipq_set_verdict() 重定向捕获的数据包？我想将未经授权的用户重定向到登录页面。请看我的代码: 数据包被接受，我的浏览器打开请求的页面(未更
iptables - 如何从 tcpdump 输出中获取 from..to 偏移量以与 iptables 字符串匹配模块一起使用
我正在尝试使用字符串匹配模块获取“from”和“to”偏移量以在我的 iptables 规则中使用。这是我从 tcpdump 工具输出的数据包: listening on eth0, link-typ
python - 如何使用 python-iptables 编写特定的 iptables 规则
我正在尝试使用 python-iptables 编写脚本来设置某些规则。我弄清楚了如何设置规则以允许所有连接和拒绝所有连接，但我需要弄清楚如何编写规则以允许已建立的连接。例如，我需要使用 pytho
linux - 用 iptables 删除任何 iptables 仍然可以在 IRC 上聊天。为什么？
这是规则集: #!/bin/sh iptables-restore -v<
c - iptables-restore v1.4.12 : iptables. xslt 创建错误输出:无法加载匹配 `ptcp'
我正在尝试将数据从 xml 加载到 iptables。我正在使用以下命令: xsltproc /usr/share/iptables/iptables.xslt myiptable.xml | ipt
linux-kernel - iptables v1.4.14 : can't initialize iptables table `nat' : Table does not exist (do you need to insmod? )
我正在尝试设置 iptable 规则，但在使用 iptable 时收到以下错误消息: iptables v1.4.14: can't initialize iptables table `nat':
bash - Iptables v1.6.1 无法初始化 iptables 表 `filter' Ubuntu 18.04 Bash Windows
我正在从 Windows Bash 运行 Ubuntu 18.04: uname -a Linux DESKTOP-M87DGAS 4.4.0-17134-Microsoft #112-Microso
iptables - 防止整个网站下载？
有一个 IP(来自中国)试图下载我的整个网站。它下载我所有的页面并显着加载服务器(我有超过 500 000 个页面)。查看访问日志，我可以看出它绝对不是 Google 机器人或任何其他搜索引擎机器人。

首页

博学

6Ren·AI

商城

docker - K8S iptables与Pod内的一个容器之间的关系