3.2.6 - --make-iptables-util-chains 引数が true に設定されていることを確認してください (自動化)

影響

監査

注意 まず、各ノードにSSH接続します。各ノードで次のコマンドを実行して、Kubeletプロセスを見つけます。 ps -ef | grep kubelet 上記のコマンドの出力に引数--make-iptables-util-chainsが含まれている場合、それがtrueに設定されていることを確認してください。引数--make-iptables-util-chainsが存在せず、--configで指定されたKubelet設定ファイルがある場合、そのファイルがmakeIPTablesUtilChainsをfalseに設定していないことを確認してください。

    HOSTNAME_PORT="localhost-and-port-number"
    NODE_NAME="The-Name-Of-Node-To-Extract-Configuration" from the output of "kubectl get nodes"
   

    kubectl proxy --port=8001 &
    export HOSTNAME_PORT=localhost:8001 (example host and port number)
    export NODE_NAME=ip-192.168.31.226.ec2.internal (example node name from "kubectl get nodes")
    curl --SSL "http://${HOSTNAME_PORT}/api/v1/nodes/${NODE_NAME}/proxy/configz"
   

修復

1. Kubeletの設定ファイルを変更する場合、/etc/kubernetes/kubelet/kubelet-config.jsonファイルを編集し、以下のパラメータをtrueに設定してください

         "makeIPTablesUtilChains": true
        

2. /etc/systemd/system/kubelet.service.d/10-kubelet-args.confが--make-iptables-util-chains引数を設定しないようにしてください。そうしないと、Kubelet設定ファイルが上書きされます。

1. 実行可能な引数を使用する場合、各ワーカーノードのkubeletサービスファイル/etc/systemd/system/kubelet.service.d/10-kubelet-args.confを編集し、KUBELET_ARGS変数文字列の末尾に以下のパラメータを追加してください。

         --make-iptables-util-chains=true
        

1. APIのconfigzエンドポイントを使用する場合、kubeletを実行しているノードからライブ構成を抽出して"makeIPTablesUtilChains": trueのステータスを検索することを検討してください。

         kubectl proxy --port=8001 &
         export HOSTNAME_PORT=localhost:8001 (example host and port number)
         export NODE_NAME=ip-192.168.31.226.ec2.internal (example node name from "kubectl get nodes")
         curl --SSL "http://${HOSTNAME_PORT}/api/v1/nodes/${NODE_NAME}/proxy/configz"
        

    systemctl daemon-reload
    systemctl restart kubelet.service
    systemctl status kubelet -l
   

初期設定値