Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Erlauben Sie Kubelet, iptables zu verwalten.
Kubelets können die erforderlichen Änderungen an iptables automatisch verwalten, basierend
darauf, wie Sie Ihre Netzwerkoptionen für die Pods auswählen. Es wird empfohlen, die
Verwaltung der Änderungen an iptables den Kubelets zu überlassen. Dies stellt sicher,
dass die iptables-Konfiguration mit der Netzwerk-Konfiguration der Pods synchron bleibt.
Das manuelle Konfigurieren von iptables bei dynamischen Änderungen der Pod-Netzwerkkonfiguration
könnte die Kommunikation zwischen Pods/Containern und zur Außenwelt beeinträchtigen.
Möglicherweise sind Ihre iptables-Regeln zu restriktiv oder zu offen.
 |
HinweisStandardmäßig ist das Argument
--make-iptables-util-chains auf true gesetzt. |
Auswirkung
Kubelet würde die iptables auf dem System verwalten und sie synchron halten. Wenn
Sie eine andere Lösung zur Verwaltung von iptables verwenden, kann es zu Konflikten
kommen.
Prüfung
Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep kubelet
Überprüfen Sie, ob das Argument
--make-iptables-util-chains existiert und auf true gesetzt ist. Wenn das Argument --make-iptables-util-chains nicht existiert und eine Kubelet-Konfigurationsdatei durch --config angegeben ist, vergewissern Sie sich, dass die Datei makeIPTablesUtilChains nicht auf false setzt.Wiederherstellung
Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um
makeIPTablesUtilChains: true festzulegen.Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei
/etc/kubernetes/kubelet.conf auf jedem Worker-Knoten und entfernen Sie das Argument --make-iptables-util-chains aus der Variablen KUBELET_SYSTEM_PODS_ARGS.Basierend auf Ihrem System starten Sie den
kubelet-Dienst neu. Zum Beispiel:systemctl daemon-reload systemctl restart kubelet.service