[英]how to avoid snat when using service type clusterip on kubernetes?
对于k8s集群中的每项服务,kubernetes都会对请求数据包进行过滤。 iptables规则是:
-A KUBE-SERVICES ! -s 10.254.0.0/16 -d 10.254.186.26/32 -p tcp -m comment --comment "policy-demo/nginx: cluster IP" -m tcp --dport 80 -j KUBE-MARK-MASQ
-A KUBE-SERVICES -d 10.254.186.26/32 -p tcp -m comment --comment "policy-demo/nginx: cluster IP" -m tcp --dport 80 -j KUBE-SVC-3VXIGVIYYFN7DHDA
-A KUBE-MARK-MASQ -j MARK --set-xmark 0x4000/0x4000
-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING
-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE
它在大多数情况下都可以正常运行,但是在网络策略中却不能。 Caclico使用ipset实施网络策略,并且匹配的集合仅包含pod ip。
因此,当服务容器在节点1上运行,而访问容器在节点2上运行时。 由于请求的src ip是node2的ip或flannel.1 ip,因此networkpolicy将丢弃该请求。
我认为可能有一种关闭clusterat服务的小程序的方法,但是我在任何地方都找不到,有人可以帮我吗?
非常感谢你!
这个问题已经解决。
我将--cluster-cidr=10.254.0.0/16更改为--cluster-cidr=172.30.0.0/16 。 然后效果很好。
kube-proxy cluster-cidr需要与控制器管理器上使用的一台相匹配,也要与calico使用的一台相匹配。
Kubernetes:我何时必须使用Ingress + ClusterIP选择上面类型的loadbalancer服务?
[英]Kubernetes: When do I have to choose a service of type loadbalancer above using ingress + ClusterIP?
如何在Kubernetes中获得服务类型为ClusterIP的客户端IP地址
[英]How to get client IP address in Kubernetes with service type ClusterIP
如何使用 Terraform 和 ClusterIP 定义 Kubernetes 服务
[英]How to define a Kubernetes Service with Terraform and ClusterIP
Kubernetes-有服务入口-类型可以为ClusterIP吗
[英]Kubernetes - Have an ingress on a service - is it ok for its type to be ClusterIP
在 kubernetes 中使用 ClusterIP 服务类型的外部 IP 地址有什么用
[英]what is the use of external IP address with a ClusterIP service type in kubernetes
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.