Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

第 30 章 iptables

30.1. 概述

有许多系统组件,包括 OpenShift Container Platform、容器和软件,它们依赖于内核 iptables 配置来管理适当的网络操作。此外,集群中所有节点的 iptables 配置必须正确才能使联网正常工作。

所有组件都独立与 iptables 合作,而不知道其他组件如何使用它们。这样,一个组件就能非常轻松地破坏另一个组件的配置。此外,OpenShift 容器平台和 Docker 服务假定 iptables 的设置与设置完全相同。它们可能不会检测到其他组件引入的更改,如果实施该修复程序存在一些滞后。特别是,OpenShift Container Platform 会监控并修复问题。不过,Docker 服务没有。

重要

确保您对节点上的 iptables 配置所做的任何更改不会影响 OpenShift Container Platform 和 Docker 服务的操作。此外,通常需要在群集中的所有节点上进行更改。请小心操作,因为 iptables 的设计不是有多个并发用户,而且很容易破坏 OpenShift Container Platform 和 Docker 网络。

OpenShift Container Platform 提供多个链,其中一个专门供管理员用于自己的目的:OPENSHIFT-ADMIN-OUTPUT-RULES.

如需更多信息,请参阅 关于使用 iptables 规则限制对外部资源的访问

必须在集群中的每个节点上正确设置链、链顺序以及内核 iptables 中的规则,才能使 OpenShift Container Platform 和 Docker 网络正常工作。系统中通常使用多种工具和服务与内核 iptables 交互,可能会意外影响 OpenShift Container Platform 和 Docker 服务。