在 Kubernetes 环境中,自动检查 `iptables` 规则的工具可以帮助诊断网络策略、服务路由和 CNI 插件问题。以下是一些常用的工具和方法:
---
### 1. **`iptables` 原生命令**
直接使用 `iptables` 命令查看规则(需在节点上执行):
```bash
# 查看所有规则(包括 NAT 表)
sudo iptables-save
# 查看特定表的规则(如 NAT、FILTER 等)
sudo iptables -t nat -L -n --line-numbers
sudo iptables -t filter -L -n
```
---
### 2. **Kubernetes 诊断工具**
#### **a. `kubectl` 相关命令**
- **检查 Service 和 Endpoint**:
```bash
kubectl get svc,ep -n <namespace>
```
- **检查 Pod 网络**:
```bash
kubectl describe pod <pod-name> | grep IP
```
#### **b. `kube-proxy` 日志**
Kube-proxy 负责维护 `iptables` 规则,检查其日志:
```bash
kubectl logs -n kube-system <kube-proxy-pod-name>
```
---
### 3. **专用检查工具**
#### **a. `iptables-analyzer`**
- 分析 `iptables-save` 输出,生成规则依赖图。
- 项目地址:https://github.com/cloudnativelabs/iptables-analyser
**用法**:
```bash
iptables-save | iptables-analyzer
```
#### **b. `trace-nft` (针对 `nftables` 后端)**
如果 Kubernetes 使用 `nftables` 后端(如某些新版本),可用:
```bash
nft monitor trace
```
#### **c. `calicoctl` (Calico CNI)**
如果使用 Calico 网络插件:
```bash
calicoctl node status
calicoctl get networkPolicy -o yaml
```
---
### 4. **网络诊断工具**
#### **a. `netshoot`**
一个容器化网络工具箱,集成多种命令(如 `iptables`、`tcpdump`、`netstat`):
```bash
kubectl run netshoot --rm -i --tty --image nicolaka/netshoot
```
#### **b. `krew` 插件 `access-matrix`**
检查网络策略是否允许流量:
```bash
kubectl access-matrix --namespace <ns>
```
---
### 5. **自动化检查脚本**
编写脚本定期检查 `iptables` 规则差异(示例):
```bash
#!/bin/bash
IPTABLES_BACKUP="/tmp/iptables-save-$(date +%s)"
iptables-save > $IPTABLES_BACKUP
diff -u /tmp/iptables-save-old $IPTABLES_BACKUP
```
---
### 6. **Prometheus + Grafana 监控**
通过监控组件采集 `kube-proxy` 和 `iptables` 指标:
- **`kube-proxy` 指标**:`http://<node-ip>:10249/metrics`
- **`iptables` 规则计数**:通过 `node-exporter` 自定义指标。
---
### 常见问题定位
- **规则丢失**:检查 `kube-proxy` 是否崩溃。
- **规则冲突**:CNI 插件(如 Calico、Flannel)是否与手动规则冲突。
- **DNS/Service 故障**:检查 `KUBE-SERVICES` 和 `KUBE-SEP-*` 链。
---
根据你的 Kubernetes 网络插件(如 Calico、Cilium、Flannel)和 `kube-proxy` 模式(iptables/IPVS),工具选择可能有所不同。如果是生产环境,建议结合日志和监控系统实现自动化检查。
浙公网安备 33010602011771号