通过pod在其内部以及worker节点中添加iptable规则

Question

我有一个需求，我将部署一个pod，当它出现时，我需要在pod中添加一些iptable规则。同时，我需要在运行pod的worker节点中添加一些iptable规则。

如果我对pod使用"hostNetwork“选项，我需要添加到pod中的iptable规则也会被添加到worker节点。

如何实现这一点，其中pod本身在pod内以及worker节点中添加iptable规则。

Answer 1

不推荐使用。⛔

基本上，kube-proxy和网络覆盖通常大量使用iptables来实现Kubernetes中的功能。添加您自己的iptables是可行的，但是您必须观察Kubernetes所做的一切，并确保您所做的任何事情都不会冲突。

没有特定的工具可以帮助管理Kubernetes创建的所有iptables以及您创建的iptables。这只适用于节点级别。不存在在pod级别添加iptables这样的事情。

您可以使用一些网络对象(如Network Policies )来限制流量，或者如果您使用的是Calico，则可以使用更多的advanced version of it。

另一种选择是只有一个外部防火墙，限制某些流量到Kubernetes集群中的节点。

✌️