我想在Kubernetes(kube-proxy)开始做它的魔术之前实现我自己的iptables规则,并根据节点上运行的服务/ pod动态创建规则. kube-proxy在–proxy-mode = iptables中运行.

每当我在启动节点时尝试加载规则时,例如在INPUT链中,即使我的规则也是-I标志,Kubernetes规则(KUBE-EXTERNAL-SERVICES和KUBE-FIREWALL)也会插入到链的顶部. .

我错过了什么或做错了什么？

如果它以某种方式相关,我正在为pod网络使用weave-net插件.

最佳答案 最常见的做法是将所有自定义防火墙规则放在网关(
ADC)或云
security groups中.其余的群集安全性由其他功能实现,如
Network Policy(取决于网络
providers),
Ingress,
RBAC等.

查看有关Securing a Cluster和Kubernetes Security – Best Practice Guide的文章.

这些文章也可以帮助保护您的群集：

> Hardening your cluster’s security
> The Ultimate Guide to Kubernetes Security