K8S 之 Flannel之SNAT规划优化
发表于:2025-02-04 作者:千家信息网编辑
千家信息网最后更新 2025年02月04日,一、Flannel之SNAT规划优化作用解决两宿主机容器之间的透明访问,如不进行优化,容器之间的访问,日志记录为宿主机的IP地址。1、宿主机访问172.7.22.2的nginx容器情况2、172.7.
千家信息网最后更新 2025年02月04日K8S 之 Flannel之SNAT规划优化
一、Flannel之SNAT规划优化作用
解决两宿主机容器之间的透明访问,如不进行优化,容器之间的访问,日志记录为宿主机的IP地址。1、宿主机访问172.7.22.2的nginx容器情况
2、172.7.22.2查看nginx访问日志
3、进入172.7.21.2的容器访问172.7.22.2的nginx容器,查看日志
4、再次查看172.7.22.2的nginx访问日志
5、解决问题:当容器172.7.21.2访问172.7.22.2的nginx容器时,展示的日志应为172.7.21.2
二、解决方法
1、安装iptables-services组件[root@test-nodes1 ~]# yum -y install iptables-services[root@test-nodes1 ~]# systemctl start iptables[root@test-nodes1 ~]# systemctl enable iptablesCreated symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.-----------------------------------------------------------------------------------------------2、把以下iptable记录的伪装转向删除[root@test-nodes1 ~]# iptables-save |grep -i postrouting:POSTROUTING ACCEPT [68:4098]:KUBE-POSTROUTING - [0:0]-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING-A POSTROUTING -s 172.7.21.0/24 ! -o docker0 -j MASQUERADE #删除此条-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE-----------------------------------------------------------------------------------------------3、删除该记录[root@test-nodes1 ~]# iptables -t nat -D POSTROUTING -s 172.7.21.0/24 ! -o docker0 -j MASQUERADE-----------------------------------------------------------------------------------------------4、插入一条新的记录(排除对172.7.0.0/16网络访问的伪装)[root@test-nodes1 ~]# iptables -t nat -I POSTROUTING -s 172.7.21.0/24 ! -d 172.7.0.0/16 ! -o docker0 -j MASQUERADE-----------------------------------------------------------------------------------------------5、查看是否生效[root@test-nodes1 ~]# iptables-save |grep -i postrouting:POSTROUTING ACCEPT [13:814]:KUBE-POSTROUTING - [0:0]-A POSTROUTING -s 172.7.21.0/24 ! -d 172.7.0.0/16 ! -o docker0 -j MASQUERADE-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE-----------------------------------------------------------------------------------------------6、删除iptables上所有reject拒绝规则[root@test-nodes1 ~]# iptables-save | grep -i reject-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibited[root@test-nodes1 ~]# iptables -t filter -D INPUT -j REJECT --reject-with icmp-host-prohibited[root@test-nodes1 ~]# iptables -t filter -D FORWARD -j REJECT --reject-with icmp-host-prohibited[root@test-nodes1 ~]# iptables-save | grep -i reject-----------------------------------------------------------------------------------------------7、保存iptables规则[root@test-nodes1 ~]# iptables-save > /etc/sysconfig/iptables三、验证结果
1、通过容器172.7.21.2访问172.7.22.2
2、查看172.7.22.2的容器日志
备注:test-nodes需要有相同的操作
容器
日志
宿主
宿主机
之间
规则
规划
相同
作用
再次
地址
备注
情况
方法
组件
结果
网络
问题
验证
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
未来之翼哪个服务器的人最多
天风证券软件开发怎么样
大型数据库市场占比
万常选版数据库第十章
医疗器械 网络安全 制度
mfc电路图软件开发
剑灵服务器编辑
腾讯网络安全中心有啥
sqlite数据库 教程
网络安全年终工作报告
网络安全手抄报带字简笔画
网络安全聊天标语
苏州软件开发哪家好
漫画版网络安全法全文
双十二淘宝服务器访问量
服务器实体机hp
四川惠普服务器维修哪家便宜
关系数据库中一个表有几个主键
秦皇岛软件开发行业怎么样
戴尔至强e2224g服务器
如何将图片上传华为云服务器
网络安全构成什么
软件开发项目营销策略
如何创建hive的数据库
云服务器网络计费模式是什么意思
英灵神殿换电脑服务器
辽宁pdu服务器电源价格是多少
网络安全信息专业课程
鼎捷易成pos数据库置疑
慧盈通网络技术
