我想在 Kubernetes (kube-proxy( 开始做它的魔术之前实现我自己的 iptables 规则,并根据节点上运行的服务/pod 动态创建规则。kube 代理正在--proxy-mode=iptables运行。
每当我在启动节点时尝试加载规则时,例如在INPUT链中,Kubernetes 规则(KUBE-EXTERNAL-SERVICES和KUBE-FIREWALL(都会插入链的顶部,即使我的规则也带有-I标志。
我错过了什么或做错了什么?
如果它以某种方式相关,我正在为 pod 网络使用 weave-net 插件。
最常见的做法是将所有自定义防火墙规则放在网关 (ADC( 上或云安全组中。群集安全性的其余部分由其他功能实现,例如网络策略(取决于网络提供商(,入口,RBAC等。
查看有关保护集群和 Kubernetes 安全性 - 最佳实践指南的文章。
以下文章还有助于保护群集:
-
强化集群的安全性
-
Kubernetes 安全终极指南