关闭 calico/felix iptables 规则或允许所有配置文件?

【问题标题】:Turning off the calico/felix iptables rules or allow-all profile?关闭 calico/felix iptables 规则或允许所有配置文件?
【发布时间】:2017-12-01 19:07:58
【问题描述】:

我正在使用 calico 2.6 和 docker 17.09.0-ce,它工作正常。我只有 2 个问题无法找到答案。

1) 如何完全关闭 calico/felix iptables 规则?我在想这可能适用于 CALICO_LIBNETWORK_CREATE_PROFILES=false 环境变量,但仍然设置了 iptable 规则。或者如何将系统设置为“全部允许”。

2) 如果 1) 的答案是这是不可能的,那么我如何允许集群中的任何主机与任何工作负载端点通信(例如 ping 或 curl)?我可以从运行工作负载的主机与工作负载通信,但不能从集群中的任何其他主机通信。我尝试过应用带有“egress:action:allow”和“ingress:action:allow”的配置文件,但它仍然会阻止来自其他主机的流量。我证实这确实是由于 calico 通过跟踪它们以及禁用它们而生成的 iptables 规则。然后它工作。我在停止 calico/node 容器后使用了以下脚本:https://github.com/projectcalico/calico/blob/master/hack/remove-calico-policy/remove-calico-policy.sh

顺便说一句,FELIX_DEFAULTENDPOINTTOHOSTACTION=ACCEPT 标志似乎也不起作用。

【问题讨论】:

    标签: project-calico calico


    【解决方案1】:

    刚刚通过slack频道收到回复:https://calicousers.slack.com/archives/C0BCA44LA/p1512125998000122

    答案是使用如下策略文件:

    apiVersion: v1
kind: policy
metadata:
  name: allow-all
spec:
  selector: "all()"
  types:
  - ingress
  - egress
  ingress:
  - action: allow
  egress:
  - action: allow

    【讨论】:

      猜你喜欢
      • 2018-02-07
      • 2012-05-11
      • 1970-01-01
      • 2020-03-19
      • 1970-01-01
      • 1970-01-01
      • 2021-01-13
      • 1970-01-01
      • 2016-02-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode