Flannel 和 Firewalld 不得不说的故事
 
 
全文共 458 字

 

书接上回,Orwill Towne 一直想使用 K3s 的某个实验性功能——组建 K3s 集群,但是他并不想使用云服务商提供的防火墙1,而只想用自己 VPS 上的 firewalld

然后为了解决这个问题,他在我这里接连轰炸了好几天……2

好吧,这个问题还是挺诡异的,据他描述,一旦关上防火墙,整个集群就通了,但是一旦开启防火墙,就各种不通。但是他已经开放了应该开放的端口……

于是我找他要了个账号,上去看了一下他的防火墙配置,是的,对于公网接口,这些配置是 OK 的,该开放的端口确实开放了,这个时候,我把关注的点落在了 cni0flannel.1 上面了……

会不会是因为防火墙对于这两个接口没有应用某些规则呢?

我将我的发现告诉这哥们,叫他针对这两个接口配置一下规则,然后他把这两个接口扔进了 firewalld 的 trust zone

问题解决……

结论:

  1. 尽量不要在本机设置防火墙
  2. 如果不打算采取结论 1,请一定检查防火墙的配置,尤其是针对每个接口的配置,建议只针对公网接口做限制性规则,对其他内网接口默认放行

  1. 据他自己说是服务商并没有提供这玩意 [return]
  2. 我不得不说的是,他在容器和网络这一块已经比我厉害了,我目前只是会用,而他已经在尝试各种组件的组合了 [return]
Tags: #K3s · #Flannel · #Firewalld

 

TonyChyi © 2020 GPLv2