flannel 关闭SNAT

默认情况下,flannel 访问集群外网络是通过 SNAT 成宿主机 ip 方式,在一些金融客户环境中为了能实现防火墙规则,需要直接针对 POD ip 进行进行规则配置,所以需要关闭 SNAT
  • 关闭flannel 配置文件关于ip-masq 配置,删除配置文件 -ip-masq 参数
# cat /etc/systemd/system/flanneld.service

[Unit]

Description=Flanneld overlay address etcd agent

After=network.target

After=network-online.target

Wants=network-online.target

After=etcd.service

Before=docker.service

[Service]

Type=notify

ExecStart=/opt/k8s/bin/flanneld \

  -etcd-cafile=/data/work/ca.pem  \

  -etcd-certfile=/data/work/flanneld.pem \

  -etcd-keyfile=/data/work/flanneld-key.pem \

  -etcd-endpoints=https://10.65.91.161:2379,https://10.65.91.162:2379,https://10.65.91.163:2379 \

  -etcd-prefix=/kubernetes/network \

  -iface=ens192

ExecStartPost=/opt/k8s/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/docker

Restart=always

RestartSec=5

StartLimitInterval=0

[Install]

WantedBy=multi-user.target

RequiredBy=docker.service

#重启 flanneld

systemctl  daemon-reload

systemctl  restart flanneld
  • 修改flannel 配置文件中 mk-docker-opts.sh,将 ipmasq=true 修改为 ipmasq=ipmasq=false
#!/bin/sh

usage() {

        echo "$0 [-f FLANNEL-ENV-FILE] [-d DOCKER-ENV-FILE] [-i] [-c] [-m] [-k COMBINED-KEY]

Generate Docker daemon options based on flannel env file

OPTIONS:

        -f      Path to flannel env file. Defaults to /run/flannel/subnet.env

        -d      Path to Docker env file to write to. Defaults to /run/docker_opts.env

        -i      Output each Docker option as individual var. e.g. DOCKER_OPT_MTU=1500

        -c      Output combined Docker options into DOCKER_OPTS var

        -k      Set the combined options key to this value (default DOCKER_OPTS=)

        -m      Do not output --ip-masq (useful for older Docker version)

" >&2

        exit 1

}

flannel_env="/run/flannel/subnet.env"

docker_env="/run/docker_opts.env"

combined_opts_key="DOCKER_OPTS"

indiv_opts=false

combined_opts=false

ipmasq=false

while getopts "f:d:icmk:?h" opt; do

        case $opt in

                f)

                        flannel_env=$OPTARG

                        ;;

                d)

                        docker_env=$OPTARG

                        ;;

                i)

                        indiv_opts=true

                        ;;

                c)

                        combined_opts=true

                        ;;

                m)

                        ipmasq=false

                        ;;

                k)

                        combined_opts_key=$OPTARG

                        ;;

                [\?h])

                        usage

                        ;;

        esac

done

if [ $indiv_opts = false ] && [ $combined_opts = false ]; then

        indiv_opts=true

        combined_opts=true

fi

if [ -f "$flannel_env" ]; then

        . $flannel_env

fi

if [ -n "$FLANNEL_SUBNET" ]; then

        DOCKER_OPT_BIP="--bip=$FLANNEL_SUBNET"

fi

if [ -n "$FLANNEL_MTU" ]; then

        DOCKER_OPT_MTU="--mtu=$FLANNEL_MTU"

fi

if [ -n "$FLANNEL_IPMASQ" ] && [ $ipmasq = false ] ; then

        if [ "$FLANNEL_IPMASQ" = true ] ; then

                DOCKER_OPT_IPMASQ="--ip-masq=false"

        elif [ "$FLANNEL_IPMASQ" = false ] ; then

                DOCKER_OPT_IPMASQ="--ip-masq=false"

        else

                echo "Invalid value of FLANNEL_IPMASQ: $FLANNEL_IPMASQ" >&2

                exit 1

        fi

fi

eval docker_opts="\$${combined_opts_key}"

if [ "$docker_opts" ]; then

        docker_opts="$docker_opts ";

fi

echo -n "" >$docker_env

for opt in $(set | grep "DOCKER_OPT_"); do

        OPT_NAME=$(echo $opt | awk -F "=" '{print $1;}');

        OPT_VALUE=$(eval echo "\$$OPT_NAME");

        if [ "$indiv_opts" = true ]; then

                echo "$OPT_NAME=\"$OPT_VALUE\"" >>$docker_env;

        fi

        docker_opts="$docker_opts $OPT_VALUE";

done

if [ "$combined_opts" = true ]; then

        echo "${combined_opts_key}=\"${docker_opts}\"" >>$docker_env

fi

#重启 flanneld

systemctl  daemon-reload

systemctl  restart flanneld
  • docker 配置
# cat /usr/lib/systemd/system/docker.service

#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

Environment="PATH=/opt/k8s/bin:/bin:/sbin:/usr/bin:/usr/sbin"

EnvironmentFile=-/run/flannel/docker

ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS

ExecReload=/bin/kill -s HUP $MAINPID

TimeoutSec=0

RestartSec=2

Restart=always
  • 重启docker
systemctl daemon-reload

systemctl restart docker
  • 查看docker 配置
#  cat /run/flannel/docker

DOCKER_OPT_BIP="--bip=10.0.79.1/24"

DOCKER_OPT_IPMASQ="--ip-masq=false"

DOCKER_OPT_MTU="--mtu=1500"

DOCKER_NETWORK_OPTIONS=" --bip=10.0.79.1/24 --ip-masq=false --mtu=1500"

[root@lgy-test-node01 10.65.91.164 ~ ]

#  cat /run/flannel/subnet.env

FLANNEL_NETWORK=10.0.0.0/16

FLANNEL_SUBNET=10.0.79.1/24

FLANNEL_MTU=1500

FLANNEL_IPMASQ=false
  • 删除 node节点 POSTROUTING 规则,只剩下默认一条规则
iptables -t nat --line-numbers -vnL POSTROUTING

1       87  5856 KUBE-POSTROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes postrouting rules */

#删除方法

iptables -t nat -D POSTROUTING  3

iptables -t nat -D POSTROUTING  2

iptables -t nat -D POSTROUTING  1
  • tcpdump 抓包测试
tcpdump  -i ens192 port 80  -vnn 

10.0.79.2.59010 > 10.65.91.51.80
  • 需要增加主机路由
route add -host  10.0.79.2    gw 10.65.91.164

flannel 关闭SNAT的更多相关文章

  1. Kubernets二进制安装(14)之flannel之SNAT规则优化

    flannel之SNAT规则优化的目的是由于在K8S中的容器内,访问不同宿主机中的容器的资源的时候,日志文件会记录为宿主机的IP地址,而不是记录为容器本身自己的IP地址,建议在不同的宿主机上的容器互访 ...

  2. K8s二进制部署单节点 etcd集群,flannel网络配置 ——锥刺股

    K8s 二进制部署单节点 master    --锥刺股 k8s集群搭建: etcd集群 flannel网络插件 搭建master组件 搭建node组件 1.部署etcd集群 2.Flannel 网络 ...

  3. Kubernetes二进制(单/多节点)部署

    Kubernetes二进制(单/多节点)部署 目录 Kubernetes二进制(单/多节点)部署 一.常见的K8S部署方式 1. Minikube 2. Kubeadmin 3. 二进制安装部署 4. ...

  4. Linux新手随手笔记1.7

    配置网卡(本地电脑) Vment1   仅主机模式 Vment8   nat模式 物理机 : 192.16810.1  /255.255.255.0 服务器 : 192.168.10.10 /255. ...

  5. 《Linux就该这么学》第十一天课程

     防火墙常用的一些命令参数 原创地址:https://www.linuxprobe.com/chapter-08.html firewalld中常用的区域名称及策略规则 区域 默认规则策略 trust ...

  6. 《linux就该这么学》第十节课:第8章iptables和firewalld

            网卡配置: 物理机:192.168.10.1/24 服务器:192.168.10.10/24 客户端:192.168.10.20/24         1.vim  /etc/sysc ...

  7. 9.Iptables与Firewalld防火墙

    第9章 Iptables与Firewalld防火墙 章节简述: 保障数据的安全性是继保障数据的可用性之后最为重要的一项工作.防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用 ...

  8. Linux就该这么学 20181005(第八章防火墙)

    参考链接https://www.linuxprobe.com/ vim /etc/sysconfig/network-scripts/ifcfg-ens32 网络配置0 nmtui 网络配置1 nm- ...

  9. Linux网络——配置防火墙的相关命令

    Linux网络——配置防火墙的相关命令 摘要:本文主要学习了如何在Linux系统中配置防火墙. iptables命令 iptables准确来讲并不是防火墙,真正的防火墙是运行于系统内核中的netfil ...

  10. 《Linux就该这么学》培训笔记_ch08_iptables与firewall防火墙

    <Linux就该这么学>培训笔记_ch08_iptables与firewall防火墙 文章最后会post上书本的笔记照片. 文章主要内容: 防火墙管理工具 iptables firewal ...

随机推荐

  1. Zookeeper详解(03) - zookeeper的使用

    Zookeeper详解(03) - zookeeper的使用 ZK客户端命令行操作 命令基本语法 help:显示所有操作命令 ls path:使用 ls 命令来查看当前znode的子节点 -w 监听子 ...

  2. [C++]C++11:Function与Bind

    std::function 它是函数.函数对象.函数指针.和成员函数的包装器,可以容纳任何类型的函数对象,函数指针,引用函数,成员函数的指针. 以统一的方式处理函数.函数对象.函数指针.和成员函数. ...

  3. Longhorn+K8S+KubeSphere云端数据管理,实战 Sentry PostgreSQL 数据卷增量快照/备份与还原

    云端实验环境配置 VKE K8S Cluster Vultr 托管集群 https://vultr.com/ 3 个 worker 节点,kubectl get nodes. k8s-paas-71a ...

  4. 1.5万字长文:从 C# 入门 Kafka

    目录 1, 搭建 Kafka 环境 安装 docker-compose 单节点 Kafka 的部署 Kafka 集群的部署 2, Kafka 概念 基本概念 关于 Kafka 脚本工具 主题管理 使用 ...

  5. Map接口中的常用方法-Map集合遍历建找值方式

    Map接口中的常用方法 Map接口中定义了很多方法,常用的如下: public v put(K key,v value):把指定的键与指定的值添加到Map集合中. public v remove(0b ...

  6. 静态代码块-数组工具类Arrays

    静态代码块 静态代码块: 定义在成员位置,使用static修饰的代码块{}. 位置:类中方法外. 执行:随着类的加载而执行且执行一次,优先于main方法和构造方法的执行 格式: public clas ...

  7. 理论+实践,教你如何使用Nginx实现限流

    摘要:Nginx作为一款高性能的Web代理和负载均衡服务器,往往会部署在一些互联网应用比较前置的位置.此时,我们就可以在Nginx上进行设置,对访问的IP地址和并发数进行相应的限制. 本文分享自华为云 ...

  8. 10月25日内容总结——正则表达式相关知识与re模块

    目录 一.正则表达式前戏 二.正则表达式内容介绍 1.字符组 2.特殊符号 3.量词 4.贪婪匹配与非贪婪匹配 贪婪匹配 非贪婪匹配 5.转义符 6.正则表达式实战建议与一些例子 建议 例子 三.re ...

  9. 洛谷 P3916 图的遍历

    题目链接 最容易想的思路:对于每一个点都进行dfs/bfs,时间复杂度为O(n*(n+m)),显然超时 可以使用类似记忆化的操作,一个点能到达的最大值是自己所有能达到的边的最大值,则可以递归来做 但有 ...

  10. FAQ docker进程启动失败处理案例分享

    docker进程启动失败处理 背景 有同学反馈在启动docker的时候遇到了如下问题:docker启动报错 [root@wuxianfeng ~]# systemctl start docker Jo ...