私はドミニカ17.09.0-ceでcalico 2.6を使用していますが、正常に動作しています。答えが見つからない2つの質問しかありません。calico/felix iptablesルールまたはallow-allプロファイルをオフにしますか?
1)calico/felix iptablesのルールを完全に無効にするにはどうすればよいですか?私はこれがCALICO_LIBNETWORK_CREATE_PROFILES = false環境変数で動作するかもしれないと考えていましたが、iptableのルールはまだ設定されています。あるいは、システムを「すべて許可」に設定するにはどうすればよいですか?
2)1)の答えがこれが不可能である場合、クラスター内のどのホストもワークロードエンドポイントと通信(例:pingまたはカール)することを許可するにはどうすればよいですか?ワークロードが実行されているホストから、クラスタ内の他のホストからは、ワークロードと通信できます。私は、 "egress:action:allow"と "ingress:action:allow"というプロファイルを適用してみましたが、それでも他のホストからのトラフィックをブロックしています。私はそれが実際には、calicoがそれらをトレースすることによって生成するiptablesのルールと、それらを無効にすることによるものであることを確認しました。その後、それは動作します。キャリコ/ノードコンテナを停止した後、次のスクリプトを使用しました。https://github.com/projectcalico/calico/blob/master/hack/remove-calico-policy/remove-calico-policy.sh
ところで、FELIX_DEFAULTENDPOINTTOHOSTACTION = ACCEPTフラグも機能していないようです。