我有一个部署Pod的要求,当Pod出现时,我需要在Pod中添加一些iptable规则。 同时,我需要在运行Pod的worker节点中添加一些iptable规则。
如果我对pod使用“ hostNetwork”选项,那么我需要在pod中添加的iptable规则也将添加到工作节点。
如果pod本身在pod以及工作程序节点中添加iptable规则,那么如何实现呢?
答案 0 :(得分:1)
不推荐。 ⛔
基本上,kube-proxy和网络覆盖通常会大量使用iptables来使事情在Kubernetes中发生。添加自己的iptables是可行的,但是您必须注意Kubernetes所做的所有事情,并确保所做的任何事情都不会冲突。
没有特定的工具可以帮助管理Kubernetes创建的所有iptables以及您创建的所有iptables。这仅在节点级别起作用。没有这样的事情,就是在pod级别添加iptables。
您可以使用某些网络对象,例如Network Policies来限制流量,或者,如果您使用的是Calico,则可以使用更多的advanced version of it。
另一种选择是拥有一个外部防火墙,以限制对Kubernetes集群中的节点的某些通信。
✌️</ p>