он вообще берет монапольно нетфильтер в эксплуатацию

пошел пинг

мне не нравится это поведение

на сколько я помню докер надо запсукать с ключеком fulse для айпитеблс

ибо в кубернетсе сеткой рулит кубе-прокси

он вообще берет монапольно нетфильтер в эксплуатацию

ОООООО

ну что касается айпитеблс

ВЫ там белены покушали?)

кубе-прокси лиш пишет правила для iptables

ни кто там ничего в монополию не уводит)

я не про куб прокси

а про докер

докер то же

)))

рили?

ну зайдите на гитхаб почитайте вопли на счет forward)

ну как бы не льзя забрать такую вещь как ipfilter в монополюи

окей, перефразирую

докер считает что кроме него никто больше нетфильтром не керует

так лучше?

докер им то же не пользуется

..не может.....

им пользуется сетевой стек ядра

и передаёт данные докеру

вернее аппликативу

буквально месяц назад поднимал кластер k8s и проблемы такой не было, потому как припоминается что правило FORWARD вроде как было ACCEPT

докер дергает нетфильтер

докер же разделяет сети через nm

версия docker была 1.12.x, в данный момент версия 1.13

у меня редхатовская сборка docker

у меня также стали доступны адреса сервисов!!!

спасибо за помощь!

grep -ir "iptables" * |grep -i forward|grep -i drop components/engine/vendor/github.com/docker/libnetwork/drivers/bridge/setup_ip_forwarding.go: // drop only if the daemon option iptables is not set to false. components/engine/vendor/github.com/docker/libnetwork/drivers/bridge/setup_ip_forwarding.go: if err := iptables.SetDefaultPolicy(iptables.Filter, "FORWARD", iptables.Drop); err != nil { components/engine/vendor/github.com/docker/libnetwork/drivers/bridge/setup_ip_forwarding.go: if err := iptables.SetDefaultPolicy(iptables.Filter, "FORWARD", iptables.Drop); err != nil { Mac-mini-Sergey:docker-ce sergeyovsienko$

докер считает что кроме него никто больше нетфильтром не керует

Докер при своем запуске безоговорочно генерит свои правила. Все правила которые были созданы до него он затирает. Вот это действительно беда!

я именно про это

вон выше кусок кода

grep -ir "iptables" * |grep -i forward|grep -i drop components/engine/vendor/github.com/docker/libnetwork/drivers/bridge/setup_ip_forwarding.go: // drop only if the daemon option iptables is not set to false. components/engine/vendor/github.com/docker/libnetwork/drivers/bridge/setup_ip_forwarding.go: if err := iptables.SetDefaultPolicy(iptables.Filter, "FORWARD", iptables.Drop); err != nil { components/engine/vendor/github.com/docker/libnetwork/drivers/bridge/setup_ip_forwarding.go: if err := iptables.SetDefaultPolicy(iptables.Filter, "FORWARD", iptables.Drop); err != nil { Mac-mini-Sergey:docker-ce sergeyovsienko$

Это всего лишь прописывание правил iptables

именно

Они решли поставить DROP

это не ipfilter

он при старте демона, если не соит iptables false тупо игнорирует другие то, что было до него и переиначивает таблицу форварда на дроп по умолчанию

а в кубернетесе iptables заведует kube-proxy и выходит конфликт

он при старте демона, если не соит iptables false тупо игнорирует другие то, что было до него и переиначивает таблицу форварда на дроп по умолчанию

Надо при первом старте докера делать сразу же iptables-save, а после не давать возможности докеру управлять iptables и соответственно использовать свои правила

так у вас кубер или чистый докер?

нужно убить желание докера лесть в iptables

не его ипархия

у меня кубер

ye nfr fgybnt ;t ljrth c fqgbntq,kc afkct

ну так апните же довекр демон с айпитеблс фалсе

dockerd —iptables Enable addition of iptables rules (default true)

dockerd —iptables=false

ну так апните же довекр демон с айпитеблс фалсе

до сей поры я об этом не знал и тупо ругался на докер за его выкрутасы с фаерволом

на этот счет не только вы ругаетесь

в ишью на гите есть

А я кластер развернул на виртуалках поиграться, думал что уже что то там. Хотя вот после целого дня ковыряний, проверок пришел к выводу чего-то я не понимаю.... А тут все банально

угу

Спасибо, ребята!

/usr/bin/dockerd -H fd:// —ip-masq=false —iptables=false —log-driver=json-file —log-level=warn —log-opt=max-file=5 —log-opt=max-size=10m —storage-driver=overlay

вариант запуска докерд от kops

А ip-masq в каких случаях следует отключать?

что бы он не лез в таблицу nat

)

когда требуется чистый роутинг? но тогда flannel будет инвертировать и делать ip-masq=true!

фланель организует овердейную сеть

для связи подов на разных хостах

надо попробовать и у докера и у flannel поставить false и посмотреть что выйдет

а рулежкой iptables в кубернетес занимается kube-proxy

hain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 974K 80M KUBE-POSTROUTING all — * * 0.0.0.0/0 0.0.0.0/0 /* kubernetes postrouting rules */ 0 0 MASQUERADE all — * !docker0 172.17.0.0/16 0.0.0.0/0 591K 49M MASQUERADE all — * * 0.0.0.0/0 !100.64.0.0/10 /* kubenet: SNAT for outbound traffic from cluster */ ADDRTYPE match dst-type !LOCAL

а рулежкой iptables в кубернетес занимается kube-proxy

это я знаю. хотя плагины cni подгружает kubelet

ну вон правило ната выше я кинул

а вообще классно /* kubenet: SNAT а в правиле MASQUERADE

это как в анекдоте про чапаева и петьку, про нюанс

кстати, тут в кубер уже сетевые политики завезли

кто-то тестил там с калико или вэйв?

это как в анекдоте про чапаева и петьку, про нюанс

ох уж эти разработчики... видно долго думали что выбрать

кстати, тут в кубер уже сетевые политики завезли

какого рода политики?

сетевые, ну когда ты можешь разделять доступы на уровне подов

какому поду к какому можно ходить, а какому нельзя

кто-то тестил там с калико или вэйв?

Я думал про калико, но так как не понимаю существенных оличий от фланеля, воздерживаюсь его использовать

сетевые, ну когда ты можешь разделять доступы на уровне подов

не обязательно калико

вот калико умеет сетевые политики, а сейчас в кубере уже и интеграция появилась

какому поду к какому можно ходить, а какому нельзя

это интересно, надо копнуть в эту сторону

https://kubernetes.io/docs/tasks/administer-cluster/declare-network-policy/

список там есть

что поддердивается

You’ll need to have a Kubernetes cluster in place, with network policy support. There are a number of network providers that support NetworkPolicy, including: Calico Cilium Kube-router Romana Weave Net Note: The above list is sorted alphabetically by product name, not by recommendation or preference. This example is valid for a Kubernetes cluster using any of these providers.

я выше и писал для примера калико или вэйв

мне остается связать это с CNI и в итоге можно будет использовать политики

сетевые, ну когда ты можешь разделять доступы на уровне подов

есть kube-router

который то же рулит в iptables в таблице филтер

так это один из network provider который поддерживает NetworkPolicy

который то же рулит в iptables в таблице филтер

пусть рулит, лишь бы правильно!

чем Kube-router хорош - так тем, что он юзает iptables+ipset

А что вы мониторите в Кубере на Bare-metal? Может есть какие-нибудь статьи интересное про это?

А так же покажите ваши дашборды! )

то же самое что и не на баре метал)

кол-во памяти, загруженность проца кол-во hhd

всё бъёться по нодам и namespace