8

我想在 Kubernetes (kube-proxy) 开始发挥神奇作用之前实现我自己的 iptables 规则,并根据节点上运行的服务/pod 动态创建规则。kube-proxy 正在运行--proxy-mode=iptables

每当我在启动节点时尝试加载规则时,例如在链中,即使我的规则也带有标志INPUT,Kubernetes 规则 (KUBE-EXTERNAL-SERVICES和) 也会插入到链的顶部。KUBE-FIREWALL-I

我错过了什么或做错了什么?

如果它以某种方式相关,我正在为 pod 网络使用 weave-net 插件。

4

1 回答 1

5

最常见的做法是将所有自定义防火墙规则放在网关 ( ADC ) 或云安全组中。集群安全的其余部分由其他功能实现,例如网络策略(取决于网络提供商)、入口RBAC等。

查看有关保护集群Kubernetes 安全性 - 最佳实践指南的文章。

这些文章也有助于保护您的集群:

于 2018-08-16T14:43:44.237 回答