Kubernetes NodePort - Ufw / Iptables игнорируется?

Question

Я открыл Kubernetes NodePort на машине и заблокировал весь трафик на этот порт по следующему правилу:

sudo ufw deny 30001

Но я все еще могу получить доступ к этому порту через браузер. Это распространено? Я не могу найти никакой информации об этом в документации.

Answer 1

Наконец-то обнаружена проблема: kube-proxy записывает iptables правила (https://kubernetes.io/docs/tasks/debug-application-cluster/debug-service/#is-kube-proxy-writing-iptables-rules), которые перехватываются до добавления вручную ufw правил. Это можно проверить, проверив порядок в выводе iptables -S -v.