プロファイル適用性: レベル 1 - ワーカーノード
Kubeletにiptablesの管理を許可する。
Kubeletsは、ポッドのネットワークオプションの選択に基づいて、必要なiptablesの変更を自動的に管理できます。iptablesの変更はkubeletsに任せることをお勧めします。これにより、iptablesの設定がポッドのネットワーク設定と同期したままになります。動的なポッドネットワーク設定の変更に対して手動でiptablesを設定すると、ポッド/コンテナ間および外部との通信が妨げられる可能性があります。iptablesのルールが厳しすぎたり、緩すぎたりすることがあります。
 |
注意デフォルトでは、
--make-iptables-util-chains 引数は true に設定されています。 |
影響
Kubeletはシステム上のiptablesを管理し、同期を保ちます。他のiptables管理ソリューションを使用している場合、競合が発生する可能性があります。
監査
各ノードで次のコマンドを実行してください:
ps -ef | grep kubelet
--make-iptables-util-chains 引数が存在する場合、それが true に設定されていることを確認します。--make-iptables-util-chains 引数が存在せず、--config で指定された Kubelet 設定ファイルがある場合、そのファイルが makeIPTablesUtilChains を false に設定していないことを確認します。修復
Kubelet configファイルを使用する場合は、ファイルを編集して
makeIPTablesUtilChains: trueに設定します。コマンドライン引数を使用する場合、各ワーカーノードの kubelet サービスファイル
/etc/kubernetes/kubelet.conf を編集し、KUBELET_SYSTEM_PODS_ARGS 変数から --make-iptables-util-chains 引数を削除します。お使いのシステムに基づいて、
kubelet サービスを再起動してください。例えば:systemctl daemon-reload systemctl restart kubelet.service