kubernetes - 在 Kubernetes 节点上实现 iptables 规则-6ren

kubernetes - 在 Kubernetes 节点上实现 iptables 规则

转载作者：行者123 更新时间：2023-12-03 01:14:18

25

4

我想在 Kubernetes(kube-proxy)开始发挥其魔力之前实现我自己的 iptables 规则，并根据节点上运行的服务/pod 动态创建规则。 kube-proxy 正在 --proxy-mode=iptables 中运行。

每当我尝试在启动节点时加载规则(例如在 INPUT 链中)时，Kubernetes 规则(KUBE-EXTERNAL-SERVICES 和 KUBE -FIREWALL)被插入到链的顶部，即使我的规则也带有 -I 标志。

我错过了什么或做错了什么？

如果有某种相关性，我正在为 pod 网络使用 weave-net 插件。

最佳答案

最常见的做法是将所有自定义防火墙规则放在网关 ( ADC ) 或云端 security groups 中。集群安全的其余部分由其他功能实现，例如 Network Policy (取决于网络providers)，Ingress , RBAC以及其他。

查看有关 Securing a Cluster 的文章和 Kubernetes Security - Best Practice Guide .

这些文章也有助于保护您的集群:

关于kubernetes - 在 Kubernetes 节点上实现 iptables 规则，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/51857978/

25

4

0

文章推荐： regex - VBA 6 : regex not recognizing complicated string

文章推荐： python - Elasticsearch请求

文章推荐： powershell - 使用Powershell过滤get-adobject

文章推荐：使用 dplyr::filter() 删除 NA 观测值

android - android : iptables-save and iptables-restore not working 中的 iptables 错误
我已经为启用了完整 netfilter 功能的 android 模拟器编译了 Linux。从源代码构建 android 后得到一个 iptables 二进制文件。当我将这个二进制文件推送到模拟器时
iptables - 最近使用 iptables 进行速率限制会出错
由于大量机器人每秒访问我的 Web 服务器太多次，我进入我的服务器并发出以下命令，试图在 5 秒内将连接限制为最多 25 个。我可能需要更严格，但我不是因为我有一个很少访问的页面，它请求 50 个图像
iptables - 使用 iptables 阻止网络机器人
我正在尝试阻止在短时间内打开大量连接的网络机器人。我正在使用这个语法: -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
iptables - 在 IPTables 中记录丢弃的数据包？
我正在尝试在 iptables 中记录一些来自恶意 IP 地址的丢弃数据包，这些 IP 地址不断攻击我的服务器。来自这个恶意 IP 的所有内容都被丢弃，我不再在 Web 服务器日志中看到它，这是一件
iptables - 使用条件语句使用 iptables 的防火墙规则
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。这个问题似乎不是关于 a specific programming problem, a softwar
iptables - keepalived 在没有 iptables 的情况下也能正常工作
我已经设置了 keepalived，只有当我停止 iptables 服务时它才能正常工作。我的iptables配置是这样的，请告诉我应该为keepalived添加什么规则 # Firewall con
iptables - IPTables 关闭然后重新打开后 OpenStack 网络无法工作
我使用 DevStack 在 RHEL6 上安装了 OpenStack，并且运行良好。有一天，我们的一位“系统管理员”注意到 iptables 正在系统上运行，并决定将其关闭(chkconfig ip
iptables - iptables NEW STATE的 "definition"
测试环境为: 2 操作系统 ubuntu server 10.04 安装在 VirtualBox 上 iptables v1.4.4 已加载 ip_conntrack 模块这些是我的测试规则:
iptables - libvirt iptables 规则中断到我的 KVM 虚拟机的端口转发
当我清除 IPtables 然后添加以下规则时，传入连接可以毫无问题地连接到端口 1234 上的我的 KVM VM。 -A PREROUTING -i br0 -p tcp -m tcp --dpor
iptables - 从 iptables 最近列表中删除那些不在 ipset 中的条目
我正在为我的工作使用 iptables 最近的匹配项，因为它保存了 ip 地址和我需要的最后一次看到的值。但是现在我需要从 iptables 最近的列表中删除一些条目，这些条目位于 ipset 中。
iptables - 如何读取 iptables TRACE 日志(策略编号)
所以我加了 sudo iptables -t raw -A PREROUTING -p tcp --dport 25 -j TRACE 也 sudo iptables -t raw -A OUTPUT
iptables - 使用 iptables 转发端口到其他客户端，但可以识别原始发件人 ip
我在专用的 ubuntu 服务器上有一个防火墙(基于 iptables)。我有几个 LAN 客户端。在我的一个 LAN 客户端上，我正在运行可以根据 IP 限制访问的软件。对我来说，重要的是我可以通
c - Lipipq(iptables)。如何使用 iptables 队列将捕获的数据包重定向到另一个地址？
我不知道如何解决我的问题。是否可以使用 ipq_set_verdict() 重定向捕获的数据包？我想将未经授权的用户重定向到登录页面。请看我的代码: 数据包被接受，我的浏览器打开请求的页面(未更
iptables - 如何从 tcpdump 输出中获取 from..to 偏移量以与 iptables 字符串匹配模块一起使用
我正在尝试使用字符串匹配模块获取“from”和“to”偏移量以在我的 iptables 规则中使用。这是我从 tcpdump 工具输出的数据包: listening on eth0, link-typ
python - 如何使用 python-iptables 编写特定的 iptables 规则
我正在尝试使用 python-iptables 编写脚本来设置某些规则。我弄清楚了如何设置规则以允许所有连接和拒绝所有连接，但我需要弄清楚如何编写规则以允许已建立的连接。例如，我需要使用 pytho
linux - 用 iptables 删除任何 iptables 仍然可以在 IRC 上聊天。为什么？
这是规则集: #!/bin/sh iptables-restore -v<
c - iptables-restore v1.4.12 : iptables. xslt 创建错误输出:无法加载匹配 `ptcp'
我正在尝试将数据从 xml 加载到 iptables。我正在使用以下命令: xsltproc /usr/share/iptables/iptables.xslt myiptable.xml | ipt
linux-kernel - iptables v1.4.14 : can't initialize iptables table `nat' : Table does not exist (do you need to insmod? )
我正在尝试设置 iptable 规则，但在使用 iptable 时收到以下错误消息: iptables v1.4.14: can't initialize iptables table `nat':
bash - Iptables v1.6.1 无法初始化 iptables 表 `filter' Ubuntu 18.04 Bash Windows
我正在从 Windows Bash 运行 Ubuntu 18.04: uname -a Linux DESKTOP-M87DGAS 4.4.0-17134-Microsoft #112-Microso
iptables - 防止整个网站下载？
有一个 IP(来自中国)试图下载我的整个网站。它下载我所有的页面并显着加载服务器(我有超过 500 000 个页面)。查看访问日志，我可以看出它绝对不是 Google 机器人或任何其他搜索引擎机器人。

首页

博学

6Ren·AI

商城

kubernetes - 在 Kubernetes 节点上实现 iptables 规则