flannel 关闭SNAT

默认情况下,flannel 访问集群外网络是通过 SNAT 成宿主机 ip 方式,在一些金融客户环境中为了能实现防火墙规则,需要直接针对 POD ip 进行进行规则配置,所以需要关闭 SNAT
  • 关闭flannel 配置文件关于ip-masq 配置,删除配置文件 -ip-masq 参数
# cat /etc/systemd/system/flanneld.service

[Unit]

Description=Flanneld overlay address etcd agent

After=network.target

After=network-online.target

Wants=network-online.target

After=etcd.service

Before=docker.service

[Service]

Type=notify

ExecStart=/opt/k8s/bin/flanneld \

  -etcd-cafile=/data/work/ca.pem  \

  -etcd-certfile=/data/work/flanneld.pem \

  -etcd-keyfile=/data/work/flanneld-key.pem \

  -etcd-endpoints=https://10.65.91.161:2379,https://10.65.91.162:2379,https://10.65.91.163:2379 \

  -etcd-prefix=/kubernetes/network \

  -iface=ens192

ExecStartPost=/opt/k8s/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/docker

Restart=always

RestartSec=5

StartLimitInterval=0

[Install]

WantedBy=multi-user.target

RequiredBy=docker.service

#重启 flanneld

systemctl  daemon-reload

systemctl  restart flanneld
  • 修改flannel 配置文件中 mk-docker-opts.sh,将 ipmasq=true 修改为 ipmasq=ipmasq=false
#!/bin/sh

usage() {

        echo "$0 [-f FLANNEL-ENV-FILE] [-d DOCKER-ENV-FILE] [-i] [-c] [-m] [-k COMBINED-KEY]

Generate Docker daemon options based on flannel env file

OPTIONS:

        -f      Path to flannel env file. Defaults to /run/flannel/subnet.env

        -d      Path to Docker env file to write to. Defaults to /run/docker_opts.env

        -i      Output each Docker option as individual var. e.g. DOCKER_OPT_MTU=1500

        -c      Output combined Docker options into DOCKER_OPTS var

        -k      Set the combined options key to this value (default DOCKER_OPTS=)

        -m      Do not output --ip-masq (useful for older Docker version)

" >&2

        exit 1

}

flannel_env="/run/flannel/subnet.env"

docker_env="/run/docker_opts.env"

combined_opts_key="DOCKER_OPTS"

indiv_opts=false

combined_opts=false

ipmasq=false

while getopts "f:d:icmk:?h" opt; do

        case $opt in

                f)

                        flannel_env=$OPTARG

                        ;;

                d)

                        docker_env=$OPTARG

                        ;;

                i)

                        indiv_opts=true

                        ;;

                c)

                        combined_opts=true

                        ;;

                m)

                        ipmasq=false

                        ;;

                k)

                        combined_opts_key=$OPTARG

                        ;;

                [\?h])

                        usage

                        ;;

        esac

done

if [ $indiv_opts = false ] && [ $combined_opts = false ]; then

        indiv_opts=true

        combined_opts=true

fi

if [ -f "$flannel_env" ]; then

        . $flannel_env

fi

if [ -n "$FLANNEL_SUBNET" ]; then

        DOCKER_OPT_BIP="--bip=$FLANNEL_SUBNET"

fi

if [ -n "$FLANNEL_MTU" ]; then

        DOCKER_OPT_MTU="--mtu=$FLANNEL_MTU"

fi

if [ -n "$FLANNEL_IPMASQ" ] && [ $ipmasq = false ] ; then

        if [ "$FLANNEL_IPMASQ" = true ] ; then

                DOCKER_OPT_IPMASQ="--ip-masq=false"

        elif [ "$FLANNEL_IPMASQ" = false ] ; then

                DOCKER_OPT_IPMASQ="--ip-masq=false"

        else

                echo "Invalid value of FLANNEL_IPMASQ: $FLANNEL_IPMASQ" >&2

                exit 1

        fi

fi

eval docker_opts="\$${combined_opts_key}"

if [ "$docker_opts" ]; then

        docker_opts="$docker_opts ";

fi

echo -n "" >$docker_env

for opt in $(set | grep "DOCKER_OPT_"); do

        OPT_NAME=$(echo $opt | awk -F "=" '{print $1;}');

        OPT_VALUE=$(eval echo "\$$OPT_NAME");

        if [ "$indiv_opts" = true ]; then

                echo "$OPT_NAME=\"$OPT_VALUE\"" >>$docker_env;

        fi

        docker_opts="$docker_opts $OPT_VALUE";

done

if [ "$combined_opts" = true ]; then

        echo "${combined_opts_key}=\"${docker_opts}\"" >>$docker_env

fi

#重启 flanneld

systemctl  daemon-reload

systemctl  restart flanneld
  • docker 配置
# cat /usr/lib/systemd/system/docker.service

#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

Environment="PATH=/opt/k8s/bin:/bin:/sbin:/usr/bin:/usr/sbin"

EnvironmentFile=-/run/flannel/docker

ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS

ExecReload=/bin/kill -s HUP $MAINPID

TimeoutSec=0

RestartSec=2

Restart=always
  • 重启docker
systemctl daemon-reload

systemctl restart docker
  • 查看docker 配置
#  cat /run/flannel/docker

DOCKER_OPT_BIP="--bip=10.0.79.1/24"

DOCKER_OPT_IPMASQ="--ip-masq=false"

DOCKER_OPT_MTU="--mtu=1500"

DOCKER_NETWORK_OPTIONS=" --bip=10.0.79.1/24 --ip-masq=false --mtu=1500"

[root@lgy-test-node01 10.65.91.164 ~ ]

#  cat /run/flannel/subnet.env

FLANNEL_NETWORK=10.0.0.0/16

FLANNEL_SUBNET=10.0.79.1/24

FLANNEL_MTU=1500

FLANNEL_IPMASQ=false
  • 删除 node节点 POSTROUTING 规则,只剩下默认一条规则
iptables -t nat --line-numbers -vnL POSTROUTING

1       87  5856 KUBE-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes postrouting rules */

#删除方法

iptables -t nat -D POSTROUTING  3

iptables -t nat -D POSTROUTING  2

iptables -t nat -D POSTROUTING  1
  • tcpdump 抓包测试
tcpdump  -i ens192 port 80  -vnn 

10.0.79.2.59010 > 10.65.91.51.80
  • 需要增加主机路由
route add -host  10.0.79.2    gw 10.65.91.164

flannel 关闭SNAT的更多相关文章

  1. Kubernets二进制安装(14)之flannel之SNAT规则优化

    flannel之SNAT规则优化的目的是由于在K8S中的容器内,访问不同宿主机中的容器的资源的时候,日志文件会记录为宿主机的IP地址,而不是记录为容器本身自己的IP地址,建议在不同的宿主机上的容器互访 ...

  2. K8s二进制部署单节点 etcd集群,flannel网络配置 ——锥刺股

    K8s 二进制部署单节点 master    --锥刺股 k8s集群搭建: etcd集群 flannel网络插件 搭建master组件 搭建node组件 1.部署etcd集群 2.Flannel 网络 ...

  3. Kubernetes二进制(单/多节点)部署

    Kubernetes二进制(单/多节点)部署 目录 Kubernetes二进制(单/多节点)部署 一.常见的K8S部署方式 1. Minikube 2. Kubeadmin 3. 二进制安装部署 4. ...

  4. Linux新手随手笔记1.7

    配置网卡(本地电脑) Vment1   仅主机模式 Vment8   nat模式 物理机 : 192.16810.1  /255.255.255.0 服务器 : 192.168.10.10 /255. ...

  5. 《Linux就该这么学》第十一天课程

     防火墙常用的一些命令参数 原创地址:https://www.linuxprobe.com/chapter-08.html firewalld中常用的区域名称及策略规则 区域 默认规则策略 trust ...

  6. 《linux就该这么学》第十节课:第8章iptables和firewalld

            网卡配置: 物理机:192.168.10.1/24 服务器:192.168.10.10/24 客户端:192.168.10.20/24         1.vim  /etc/sysc ...

  7. 9.Iptables与Firewalld防火墙

    第9章 Iptables与Firewalld防火墙 章节简述: 保障数据的安全性是继保障数据的可用性之后最为重要的一项工作.防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用 ...

  8. Linux就该这么学 20181005(第八章防火墙)

    参考链接https://www.linuxprobe.com/ vim /etc/sysconfig/network-scripts/ifcfg-ens32 网络配置0 nmtui 网络配置1 nm- ...

  9. Linux网络——配置防火墙的相关命令

    Linux网络——配置防火墙的相关命令 摘要:本文主要学习了如何在Linux系统中配置防火墙. iptables命令 iptables准确来讲并不是防火墙,真正的防火墙是运行于系统内核中的netfil ...

  10. 《Linux就该这么学》培训笔记_ch08_iptables与firewall防火墙

    <Linux就该这么学>培训笔记_ch08_iptables与firewall防火墙 文章最后会post上书本的笔记照片. 文章主要内容: 防火墙管理工具 iptables firewal ...

随机推荐

  1. CH9126常见问题解决(持续更新)

    1. 有关CH9126时区的问题 答:当CH9126作为SNTP服务器的时候,通过串口设置的时间为东八(北京)时区的绝对时间.但是如果是Windows向CH9126SNTP服务器要时间,那么Ch912 ...

  2. TKE 注册节点,IDC 轻量云原生上云的最佳路径

    林顺利,腾讯云原生产品经理,负责分布式云产品迭代和注册节点客户扩展,专注于云原生混合云新形态的推广实践. 背景 企业在持续业务运维过程中,感受到腾讯云 TKE 带来的便捷性和极致的使用体验,将新业务的 ...

  3. [Leetcode]设计循环队列

    题目   代码 class MyCircularQueue { public: /** Initialize your data structure here. Set the size of the ...

  4. A+B Problem C++

    前言继上次发表的A+B Problem C语言后,今天我们来学习一下A+B Problem C++ 正文什么是C++? C++既可以进行C语言的过程化程序设计,又可以进行以抽象数据类型为特点的基于对象 ...

  5. 【ASP.NET Core】动态映射MVC路由

    ASP.NET Core 中的几大功能模块(Razor Pages.MVC.SignalR/Blazor.Mini-API 等等)都以终结点(End Point)的方式公开.在HTTP管道上调用时,其 ...

  6. 笔记本USB接口案例_分析-笔记本USB接口案例_实现

    笔记本USB接口案例_分析 笔记本电脑(laptop)通常具备使用USB设备的功能.在生产时,笔记本都预留了可以插入USB设备的USB接口, 但具体是什么USB设备,笔记本厂商并不关心,只要符合USB ...

  7. Avalonia 实现动态托盘

    先下载一个gif图片,这里提供一个gif图片示例 在线GIF图片帧拆分工具 - UU在线工具 (uutool.cn) 使用这个网站将gif切成单张图片 创建一个Avalonia MVVM的项目,将图片 ...

  8. springboot多模块controller访问的问题

    参考 https://blog.csdn.net/qq_25091649/article/details/88429512 情况一:在主类直接写controller接口,能够访问到 @SpringBo ...

  9. LoginServlet类

    import cn.itcast.dao.UserDao; import cn.itcast.domain.User; import javax.servlet.ServletException; i ...

  10. 挖矿僵尸网络蠕虫病毒kdevtmpfsi处理过程

    背景: pgsql连接时候报错org.postgresql.util.PSQLException: FATAL: sorry, too many clients already, 意思是client已 ...