K8S 之 Flannel之SNAT规划优化
发表于:2025-12-01 作者:千家信息网编辑
千家信息网最后更新 2025年12月01日,一、Flannel之SNAT规划优化作用解决两宿主机容器之间的透明访问,如不进行优化,容器之间的访问,日志记录为宿主机的IP地址。1、宿主机访问172.7.22.2的nginx容器情况2、172.7.
千家信息网最后更新 2025年12月01日K8S 之 Flannel之SNAT规划优化
一、Flannel之SNAT规划优化作用
解决两宿主机容器之间的透明访问,如不进行优化,容器之间的访问,日志记录为宿主机的IP地址。1、宿主机访问172.7.22.2的nginx容器情况
2、172.7.22.2查看nginx访问日志
3、进入172.7.21.2的容器访问172.7.22.2的nginx容器,查看日志
4、再次查看172.7.22.2的nginx访问日志
5、解决问题:当容器172.7.21.2访问172.7.22.2的nginx容器时,展示的日志应为172.7.21.2
二、解决方法
1、安装iptables-services组件[root@test-nodes1 ~]# yum -y install iptables-services[root@test-nodes1 ~]# systemctl start iptables[root@test-nodes1 ~]# systemctl enable iptablesCreated symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.-----------------------------------------------------------------------------------------------2、把以下iptable记录的伪装转向删除[root@test-nodes1 ~]# iptables-save |grep -i postrouting:POSTROUTING ACCEPT [68:4098]:KUBE-POSTROUTING - [0:0]-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING-A POSTROUTING -s 172.7.21.0/24 ! -o docker0 -j MASQUERADE #删除此条-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE-----------------------------------------------------------------------------------------------3、删除该记录[root@test-nodes1 ~]# iptables -t nat -D POSTROUTING -s 172.7.21.0/24 ! -o docker0 -j MASQUERADE-----------------------------------------------------------------------------------------------4、插入一条新的记录(排除对172.7.0.0/16网络访问的伪装)[root@test-nodes1 ~]# iptables -t nat -I POSTROUTING -s 172.7.21.0/24 ! -d 172.7.0.0/16 ! -o docker0 -j MASQUERADE-----------------------------------------------------------------------------------------------5、查看是否生效[root@test-nodes1 ~]# iptables-save |grep -i postrouting:POSTROUTING ACCEPT [13:814]:KUBE-POSTROUTING - [0:0]-A POSTROUTING -s 172.7.21.0/24 ! -d 172.7.0.0/16 ! -o docker0 -j MASQUERADE-A POSTROUTING -m comment --comment "kubernetes postrouting rules" -j KUBE-POSTROUTING-A KUBE-POSTROUTING -m comment --comment "kubernetes service traffic requiring SNAT" -m mark --mark 0x4000/0x4000 -j MASQUERADE-----------------------------------------------------------------------------------------------6、删除iptables上所有reject拒绝规则[root@test-nodes1 ~]# iptables-save | grep -i reject-A INPUT -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibited[root@test-nodes1 ~]# iptables -t filter -D INPUT -j REJECT --reject-with icmp-host-prohibited[root@test-nodes1 ~]# iptables -t filter -D FORWARD -j REJECT --reject-with icmp-host-prohibited[root@test-nodes1 ~]# iptables-save | grep -i reject-----------------------------------------------------------------------------------------------7、保存iptables规则[root@test-nodes1 ~]# iptables-save > /etc/sysconfig/iptables三、验证结果
1、通过容器172.7.21.2访问172.7.22.2
2、查看172.7.22.2的容器日志
备注:test-nodes需要有相同的操作
容器
日志
宿主
宿主机
之间
规则
规划
相同
作用
再次
地址
备注
情况
方法
组件
结果
网络
问题
验证
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
架设内网dns服务器
微博网络安全通信管理员
数据库原理试题库
服务器研制条件
软件开发项目需求评审会
服务器端渲染页面
完善网络安全生态链
查看运行web服务器的账号
管理与配置samba服务器
和平精英更新服务器失败怎么办
服务器什么系统好
垃圾分类执法对象基础数据库
软件开发选什么方向比较好
什么安全不属于网络安全的
思科pt模拟器服务器是哪个
河北水果软件开发哪家专业
新疆阿渣互联网科技有限公司
内网同步数据库
所有数据库主页
远程服务器与管理员联系
四川优居匠网络技术服务
夸克web服务器拒绝了连接
软件开发公司社会实践报告
铁路网络安全工作要求
贪吃蛇服务器升级方法
ocp 数据库系统工程师
吉林大学软件开发公司
网络安全体系有哪些方面
邯郸进销存软件开发多少钱
我的世界东京食种服务器
