設定檔適用性:等級 1 - 工作節點
允許 Kubelet 管理 iptables。
Kubelets 可以根據您選擇的 pod 網路選項,自動管理 iptables 所需的更改。建議讓 kubelets 管理 iptables 的更改。這可確保 iptables
配置與 pod 網路配置保持同步。手動配置 iptables 並進行動態 pod 網路配置更改可能會妨礙 pod/容器之間以及與外界的通信。您可能會有過於限制或過於開放的
iptables 規則。
 |
注意預設情況下,
--make-iptables-util-chains 參數設置為 true。 |
影響
Kubelet 會管理系統上的 iptables 並保持同步。如果您使用其他 iptables 管理解決方案,可能會出現一些衝突。
稽核
在每個節點上執行下列命令:
ps -ef | grep kubelet
確認如果
--make-iptables-util-chains 參數存在,則其設定為 true。如果 --make-iptables-util-chains 參數不存在,且有由 --config 指定的 Kubelet 配置檔案,請確認該檔案未將 makeIPTablesUtilChains 設定為 false。補救
如果使用 Kubelet 配置檔案,請編輯檔案以設定
makeIPTablesUtilChains: true。如果使用命令列參數,請編輯每個工作節點上的 kubelet 服務檔案
/etc/kubernetes/kubelet.conf,並從 KUBELET_SYSTEM_PODS_ARGS 變數中移除 --make-iptables-util-chains 參數。根據您的系統,重新啟動
kubelet服務。例如:systemctl daemon-reload systemctl restart kubelet.service