技术漫谈｜iptables 与自定义ingress

admin

作者：周益

目标
k8s里nodeport的所有主机都占用相同的端口，而自定义ingress可以在指定的部分几台机器上开放端口。
iptables在自定义ingress的关系
说到iptables必然提到Netfilter，iptables是应用层的，其实质是一个定义规则的配置工具，而核心的数据包拦截和转发是Netfiler。 Netfilter是linux操作系统核心层内部的一个数据包处理模块。 根据ingress定制规则，控制iptables对外暴露端口，内部连接到 ingress-lb(nginx)上。
各服务之间的关系如下：

以下命令仅通过了centos7的工作环境。

获得指定网络地址的信息
ip route get 114.114.114.114
114.114.114.114 via 118.178.189.247 dev eth1 src 118.178.189.41
获得外网网卡
ip route get 114.114.114.114 | grep dev | awk '{print $5}'
获得外网IP
ip route get 114.114.114.114 | grep dev | awk '{print $7}'
获得指定网卡的IP
如果k8s环境没有公网网络，以上命令无法获得外网网卡和外网ip，只能手动指定外部网卡.。自动获得外部ip
example: eth1
ifconfig eth1 | grep inet | awk '{print $2}'

端口转发只是iptables其中的一个功能。 我们将通过代码去控制iptables 达到我们想要的效果。
打开iptables转发功能.
首先应该做的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0， 这样允许iptalbes FORWARD。
查看自定义链表
iptables -t nat -S | grep -C 10 INGRESS
清空三个链,把自建的规则清空

k8s内部服务器HOST ingress-lb ip为10.244.1.25， 后端业务服务器由ingress-lb中nginx配置文件来对接。

agent对k8s api watch事件监听， 一旦有了pod，endpoint，service相关的事件，对应进行iptables操作。
我们使用go语言 go-iptables对iptables进行了二次封装，关键在于对ingress-lb的ip和需要开放的端口的操作。
封装的主要功能：

创建自定义的链(所有操作不影响原链表)
查询指定的ip已开放的端口
向指定的ip添加开放端口
删除指定的ip开放了的端口
删除指定ip所有的端口

获得当前主机的对外网卡和网卡

创建自定义的三个链

获得当前开放了哪些端口

开放指定IP，对应的端口

删除指定ip，开放了的端口

删除指定ip所有的端口

iptables的功能强大，在linux有着很重要的地位。而在docker、k8s中，iptables的作用也十分重要.。本文描述通过go 调用封装cmd命令行去操作iptables，得到需要的功能。

声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。