第 30 章 iptables
30.1. 概述
有许多系统组件,包括 OpenShift Container Platform、容器和软件,它们管理本地防火墙策略,这些策略依赖于内核 iptables 配置才能进行正确的网络操作。另外,集群中所有节点的 iptables 配置必须正确才能正常工作。
所有组件均与 iptables 独立使用,无需了解其他组件如何使用它们。这使得一个组件很容易破坏另一组件配置。另外,OpenShift Container Platform 和 Docker 服务会假定 iptables 仍然与其设置一样。它们可能无法检测其他组件引入的更改,如果这些组件可能有一些布局,则它们可能会发生修复。特别是,OpenShift Container Platform 会监控并修复问题。但是,Docker 服务没有。
确保节点上对 iptables 配置所做的任何更改不会影响 OpenShift Container Platform 和 Docker 服务的操作。另外,更改通常需要在集群中的所有节点上进行。请小心使用,因为 iptables 没有设计为多个并发用户,而且很容易破坏 OpenShift Container Platform 和 Docker 网络。
OpenShift Container Platform 提供多个链,其中一个链供管理员用于自己的目的:OPENSHIFT-ADMIN-OUTPUT-RULES。
如需更多信息,请参阅使用 iptables 规则的讨论来限制对外部资源的访问。
必须在集群中的每个节点上正确设置了链、链顺序以及内核 iptables 规则,才能使 OpenShift Container Platform 和 Docker 网络正常工作。系统中常用的一些工具和服务与内核 iptables 交互,并可能会意外影响 OpenShift Container Platform 和 Docker 服务。
