由于K8S不再直接支持Docker作为默认运行时,而是支持使用CRI(Container Runtime Interface)标准来与容器运行时交互。所以现在运行容器基本都采用containerd+nerdctl方式,但随之而来的一个问题就是宿主机防火墙设置,经过测试containerd会把容器ip放置在宿主机防火墙(宿主机使用firewalld)的可信任区域里,可以理解为透明路由,直接放出,这样如果在防火墙的public区域设置是没有意义的。
目前我们采取的方式是:不在containerd里做端口映射,采用宿主机上反向代理方式把服务端口放出,软件大家自己可以选用的顺手的,然后在防火墙的public区域设置rich规则即可,大家可自行测试。
原创文章,转载请注明: 转载自混沌
本文链接地址: 关于containerd的防火墙设置思路