Главное руководство по безопасности Kubernetes
ел бы реализовать свои собственные правила iptables до того, как Kubernetes (kube-proxy) начнет делать свою магию и динамически создавать правила, основанные на службах / модулях, работающих на узле. Kube-прокси работает в--proxy-mode=iptables
.
Всякий раз, когда я пытался загрузить правила при загрузке узла, например, вINPUT
цепь, правила Кубернетес (KUBE-EXTERNAL-SERVICES
а такжеKUBE-FIREWALL
) вставляются сверху цепочки, хотя мои правила были также с-I
флаг.
Что я пропускаю или делаю неправильно?
Если это как-то связано, я использую плагин weave-net для сети pod.