プロファイル適用性: レベル1 - ワーカーノード
Kubeletにiptablesの管理を許可する。
Kubeletsは、ポッドのネットワークオプションの選択に基づいて、必要なiptablesの変更を自動的に管理できます。iptablesの変更はkubeletsに任せることをお勧めします。これにより、iptablesの設定がポッドのネットワーク設定と同期した状態を保つことができます。動的なポッドネットワーク設定の変更に対して手動でiptablesを設定すると、ポッド/コンテナ間や外部との通信が妨げられる可能性があります。iptablesのルールが厳しすぎたり、緩すぎたりすることがあります。
 |
注意デフォルトでは、
--make-iptables-util-chains引数はtrueに設定されています。 |
影響
Kubeletはシステム上のiptablesを管理し、同期を保ちます。他のiptables管理ソリューションを使用している場合、競合が発生する可能性があります。
監査
各ノードで次のコマンドを実行します。
ps -ef | grep kubelet
--make-iptables-util-chains引数が存在する場合は、trueに設定されていることを確認してください。--make-iptables-util-chains引数が存在せず、--configで指定されたKubelet設定ファイルがある場合は、そのファイルがmakeIPTablesUtilChainsをfalseに設定していないことを確認してください。修復
Kubelet設定ファイルを使用する場合、ファイルを編集して
makeIPTablesUtilChains: trueを設定してください。コマンドライン引数を使用する場合、各ワーカーノードのkubeletサービスファイル
/etc/kubernetes/kubelet.confを編集し、KUBELET_SYSTEM_PODS_ARGS変数から--make-iptables-util-chains引数を削除してください。お使いのシステムに基づいて、
kubeletサービスを再起動してください。例:systemctl daemon-reload systemctl restart kubelet.service