Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Erlauben Sie Kubelet, iptables zu verwalten.
Kubelets können die erforderlichen Änderungen an iptables automatisch verwalten, basierend
auf den von Ihnen gewählten Netzwerkoptionen für die Pods. Es wird empfohlen, die
Verwaltung der Änderungen an iptables den Kubelets zu überlassen. Dies stellt sicher,
dass die iptables-Konfiguration mit der Netzwerk-Konfiguration der Pods synchron bleibt.
Eine manuelle Konfiguration von iptables bei dynamischen Änderungen der Pod-Netzwerkkonfiguration
könnte die Kommunikation zwischen Pods/Containern und zur Außenwelt beeinträchtigen.
Möglicherweise sind Ihre iptables-Regeln zu restriktiv oder zu offen.
 |
HinweisStandardmäßig ist das Argument
--make-iptables-util-chains auf true gesetzt. |
Auswirkung
Kubelet würde die iptables auf dem System verwalten und synchron halten. Wenn Sie
eine andere iptables-Verwaltungslösung verwenden, könnte es zu Konflikten kommen.
Prüfung
Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep kubelet
Überprüfen Sie, ob das Argument
--make-iptables-util-chains existiert und auf true gesetzt ist. Wenn das Argument --make-iptables-util-chains nicht existiert und eine Kubelet-Konfigurationsdatei durch --config angegeben ist, überprüfen Sie, dass die Datei makeIPTablesUtilChains nicht auf false setzt.Wiederherstellung
Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um
makeIPTablesUtilChains: true festzulegen.Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei
/etc/kubernetes/kubelet.conf auf jedem Worker-Knoten und entfernen Sie das Argument --make-iptables-util-chains aus der Variablen KUBELET_SYSTEM_PODS_ARGS.Basierend auf Ihrem System starten Sie den
kubelet-Dienst neu. Zum Beispiel:systemctl daemon-reload systemctl restart kubelet.service