禁用Calico源NAT

Question

kubeadm + calico使用的默认设置是NAT任何不是来自pod_ip的传入连接。

我已经将服务网络发布到我的外部局域网，并且希望服务荚使用实际的客户机IP，而不是一个已翻译的IP。

具体来说，它补充说

-A KUBE-SERVICES ! -s 172.16.0.0/16 -d 172.20.160.251/32 -p tcp -m comment --comment "telemetry/pipeline-cdn:http cluster IP" -m tcp --dport 5000 -j KUBE-MARK-MASQ

敬伊普塔莱。

尽管这不是一个直接的问题，但它确实会增加短期端口耗尽的风险，以及跟踪连接和记录访问我的web服务的客户端的一般困难。

Answer 1

在克里科·斯拉克的帮助下，我想出了办法。

简单地说，它正在做它需要做的事情，别管它了。

雄辩的回答

https://www.asykim.com/blog/deep-dive-into-kubernetes-external-traffic-policies