kube_proxy iptables

最新推荐文章于 2024-09-02 23:34:33 发布

感觉很想你

最新推荐文章于 2024-09-02 23:34:33 发布

阅读量172

点赞数

分类专栏： k8s 文章标签： golang

本文链接：https://blog.csdn.net/qq_36980207/article/details/120133545

版权

k8s 专栏收录该内容

7 篇文章 0 订阅

订阅专栏

这段代码展示了在Kubernetes环境中如何使用iptables规则来管理网络流量。它涉及到filter和nat表，创建和添加规则到不同的链，如kube-external-services、kube-node-ports等，确保服务间的通信和健康检查。主要操作包括创建新的iptables链，并将来自特定链的数据包跳转到目标链中。

摘要由CSDN通过智能技术生成

//将table中所有来自srcChain链中的数据包跳转到dstChain链中
type iptablesJumpChain struct {
	table     utiliptables.Table //iptables的表
	dstChain  utiliptables.Chain //需要创建的chain的名字
	srcChain  utiliptables.Chain //需要进行判定的chain的名字
	comment   string  //添加的注释
	extraArgs []string  //额外的参数
} 


var iptablesJumpChains = []iptablesJumpChain{
	{utiliptables.TableFilter, kubeExternalServicesChain, utiliptables.ChainInput, "kubernetes externally-visible service portals", []string{"-m", "conntrack", "--ctstate", "NEW"}},
	{utiliptables.TableFilter, kubeExternalServicesChain, utiliptables.ChainForward, "kubernetes externally-visible service portals", []string{"-m", "conntrack", "--ctstate", "NEW"}},
	{utiliptables.TableFilter, kubeNodePortsChain, utiliptables.ChainInput, "kubernetes health check service ports", nil},
	{utiliptables.TableFilter, kubeServicesChain, utiliptables.ChainForward, "kubernetes service portals", []string{"-m", "conntrack", "--ctstate", "NEW"}},
	{utiliptables.TableFilter, kubeServicesChain, utiliptables.ChainOutput, "kubernetes service portals", []string{"-m", "conntrack", "--ctstate", "NEW"}},
	{utiliptables.TableFilter, kubeForwardChain, utiliptables.ChainForward, "kubernetes forwarding rules", nil},
	{utiliptables.TableNAT, kubeServicesChain, utiliptables.ChainOutput, "kubernetes service portals", nil},
	{utiliptables.TableNAT, kubeServicesChain, utiliptables.ChainPrerouting, "kubernetes service portals", nil},
	{utiliptables.TableNAT, kubePostroutingChain, utiliptables.ChainPostrouting, "kubernetes postrouting rules", nil},
}

//对k8s相关链添加和创建rule
for _, jump := range iptablesJumpChains {
        //执行 iptables -N dstChain链名 -t 表名 额外的参数
        //比如 iptables -N KUBE-EXTERNAL-SERVICES -t  filter -m conntrack ctstate NEW
		if _, err := proxier.iptables.EnsureChain(jump.table, jump.dstChain); err != nil {
			klog.ErrorS(err, "Failed to ensure chain exists", "table", jump.table, "chain", jump.dstChain)
			return
		}
		args := append(jump.extraArgs,
			"-m", "comment", "--comment", jump.comment,
			"-j", string(jump.dstChain),
		)
        //为相应的链编写规则,并规定跳转链 执行 iptables -I srcChain链名 -t 表名 额外的参数 -m comment --comment 注释 -j 跳转的dstChain名
        //比如 iptables -I INPUT -t filter -m conntrack ctstate NEW -m comment --comment "kubernetes externally-visible service portals"  -j KUBE-EXTERNAL-SERVICES
		if _, err := proxier.iptables.EnsureRule(utiliptables.Prepend, jump.table, jump.srcChain, args...); err != nil {
			klog.ErrorS(err, "Failed to ensure chain jumps", "table", jump.table, "srcChain", jump.srcChain, "dstChain", jump.dstChain)
			return
		}
	}

调用

func (proxier *Proxier) syncProxyRules()

函数的时候会在函数里面对iptables的链进行添加，主要是对filter表、nat表的链添加。

感觉很想你

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录