Q&Aわからないこと
rebootすると、osの起動後、自分で設定したiptablesのruleが反映されません。
環境
ubuntu 16.04.6
docker 18.09.6
kubernetes 1.13.5(rkeを使って構築しました。)
調べたこと
etc/network/if-pre-up.d/iptables_startで、iptablesを反映するscriptを書きました。
- 同様のサーバー環境を用意し、kubernetesをinstallせずに
rebootした場合は反映されます。 - 問題のサーバーでetc/network/if-pre-up.d以下に、
touch hogeのようなscriptが実行されたことを確認するようなファイルを作ると、確かにhogeが作られます。
ので、os起動までは一度iptableが反映されていると思われます。
が、ログインし、iptables -Lを実行すると、dockerやkuberentesのiptablesの設定は反映されているのですが、自前の設定は反映されません。まるで、dockerらがiptables -Fした後に、設定を追加したような挙動です。
etc/network/if-pre-up.d/iptables_startをログイン後実行するとその設定は維持されます。
追記2019/5/16
いくつか挙動を確認したところ、どうやらiptables-restoreが実行されるタイミングで、設定の反映が途中で止まるようでした。
ログを見たところ、
log
1 ifup[829]: iptables-restore v1.6.0: Set cali40masq-ipam-pools doesn't exist. 2ifup[829]: Error occurred at line: 179
とありまして、関連する記事としては、StarlingX Projectの開発者ページ?がありまして、
puppetなるソフトウェアと、DockerやKubernetesで指定したiptablesの内容が競合して、適用されなくなるバグがあると報告しています。
しかし、puppetはinstallしていません。
/if-pre-up.d以下で、iptablesをいじるのはiptables_startのみなのですが、それでも何かとぶつかっているのでしょうか。
さらに追記 同日
こちらでは、systemdにやらせると良いということで、次のようにserviceを作りました。
root@instance1:~# cat /etc/network/iptables #!/bin/bash /sbin/iptables-restore < /etc/iptables.rules exit 0 root@instance1:~# cat /etc/systemd/system/router-rules.service [Unit] Description = Apply base firewall rules for router functionality [Service] Type=oneshot ExecStart=/etc/network/iptables [Install] WantedBy=network-pre.target root@instance1:~# systemctl enable router-rules.service root@instance1:~# reboot
再起動後、
root@instance1:~# systemctl status router-rules.service ● router-rules.service - Apply base firewall rules for router functionality Loaded: loaded (/etc/systemd/system/router-rules.service; enabled; vendor preset: enabled) Active: inactive (dead) since Thu 2019-05-16 03:21:48 JST; 22s ago Process: 619 ExecStart=/etc/network/iptables (code=exited, status=0/SUCCESS) Main PID: 619 (code=exited, status=0/SUCCESS) May 16 03:21:48 instance1 systemd[1]: Starting Apply base firewall rules for router functionality... May 16 03:21:48 instance1 iptables[619]: iptables-restore v1.6.0: Set cali40masq-ipam-pools doesn't exist. May 16 03:21:48 instance1 iptables[619]: Error occurred at line: 179 May 16 03:21:48 instance1 iptables[619]: Try `iptables-restore -h' or 'iptables-restore --help' for more information. May 16 03:21:48 instance1 systemd[1]: Started Apply base firewall rules for router functionality.
と表示されます。
回答1件
0
自己解決
iptablesを設定する際、Dockerやkubernetesが準備したものも一緒にsaveしてしまったのが、いけなかったようです。
saveするのは自前のものだけにすれば、適用されました。
おそらくですが、cali40masq-ipam-poolsなるipリストがあるはずが、これはkubernetesが作る一時的なipアドレスで、再起動の前後でこのリストが失われるのが原因だと思われます。
このリストがないと、保存したルールのうち、該当ルール以下が全てskipされ、自前のルールもそこに含まれていたため、今回のような問題になりました。
dockerやkubernetesらのルールは起動のたびに作ってくれますから、この部分は削除します。
何か設定を追加する場合も、iptables-saveはダメです。これではkubernetesの設定も付いてきます。
現時点では、/etc/iptables.rulesを直接編集し、自前の部分のみ記述するしか方法はなさそうです。
投稿2019/05/16 06:17
編集2019/05/16 06:54
総合スコア200
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。