Kesl ломает сеть в k8s

[anima 0]

Вообщем при установке Kesl на ноды на котрых крутятся поды k8s перестаёт работать сеть кубера.

Изнутри пода ip адрес определяется по имени сервиса. Типа 

#getent hosts postgresql-service
#10.107.168.208  postgresql-service.default.svc.cluster.local

но не конектится ни по ip ни по имени сервиса:

psql -h 10.107.168.208 или 

psql -h postgresql-service

 

Но если попытаться соединится по ip пода то соединение проходит.

 

Если убить kesl процесс то сразу всё работает корректно. Как настроить политики чтобы не ломалось ничего ??? 

 

[mike 1 1 093]

Здравствуйте. Если отключить защиту от сетевых угроз, то проблема наблюдается?

[anima 0]

При отключении защиту от сетевых угроз проблема пропадает, но навсегда её отключать не разрешают  в тп предложили с помощью iptables -t mangle -A kesl_bypass -i <интерфейс> -j ACCEPT
 исключить, но я не знаю что писать в интерфейсы, 

Их дофига создалось, все исключать ?

вывод ip netconf
inet lo forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet eth0 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet flannel.1 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet cni0 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet veth4bb6f310 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet veth4805acb3 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet veth01952817 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet veth0cfa2074 forwarding on rp_filter loose mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet all forwarding on rp_filter off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet default forwarding on rp_filter strict mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 lo forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 eth0 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 flannel.1 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 cni0 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 veth4bb6f310 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 veth4805acb3 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 veth01952817 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 veth0cfa2074 forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 all forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown off 
inet6 default forwarding off mc_forwarding off proxy_neigh off ignore_routes_with_linkdown of

 

 iptables -t mangle -A kesl_bypass -i  flannel.1   -j ACCEPT    походу всё исправляет

 

Хотя нет, после перезагрузки правила не сохранились но всё работает, может из того что в каспер добавили в исключения  10.0.0.0/8 

[mike 1 1 093]

14.03.2024 в 09:11, anima сказал:

может из того что в каспер добавили в исключения  10.0.0.0/8 

У вас в кубере сети 10.107.168.208 попадают под это правило