設定檔適用性:等級 1 - 工作節點
允許 Kubelet 管理 iptables。
Kubelets 可以根據您選擇的 pod 網路選項,自動管理對 iptables 的必要更改。建議讓 kubelets 管理對 iptables 的更改。這可確保
iptables 配置與 pod 網路配置保持同步。手動配置 iptables 以應對動態的 pod 網路配置更改可能會妨礙 pod/容器之間以及與外界的通信。您可能會有過於限制或過於開放的
iptables 規則。
 |
注意預設情況下,
--make-iptables-util-chains 參數設置為 true。 |
影響
Kubelet 會管理系統上的 iptables 並保持同步。如果您使用其他 iptables 管理解決方案,則可能會發生一些衝突。
稽核
在每個節點上執行以下命令:
ps -ef | grep kubelet
驗證是否存在
--make-iptables-util-chains 參數,若存在則需設置為 true。如果 --make-iptables-util-chains 參數不存在,且有由 --config 指定的 Kubelet 配置文件,請驗證該文件未將 makeIPTablesUtilChains 設置為 false。補救
如果使用 Kubelet 配置檔,請編輯檔案以設置
makeIPTablesUtilChains: true。如果使用命令列參數,請編輯每個工作節點上的 kubelet 服務檔案
/etc/kubernetes/kubelet.conf,並從 KUBELET_SYSTEM_PODS_ARGS 變數中移除 --make-iptables-util-chains 參數。根據您的系統,重新啟動
kubelet服務。例如:systemctl daemon-reload systemctl restart kubelet.service