Calico项目中calico-node健康检查与KUBE-FIREWALL规则冲突问题解析

在Kubernetes集群中使用Calico CNI时，部分用户可能会遇到calico-node Pod因健康检查失败而持续重启的问题。该问题的根源在于Kubernetes默认生成的KUBE-FIREWALL iptables规则与Calico的健康检查机制产生了冲突。

问题现象

当集群中存在以下iptables规则时：

Chain KUBE-FIREWALL (2 references)
num  target     prot opt source               destination         
1    DROP       all  -- !127.0.0.0/8          127.0.0.0/8          /* block incoming localnet connections */ ! ctstate RELATED,ESTABLISHED,DNAT

calico-node Pod会出现健康检查失败的情况，具体表现为：

1. Pod的livenessProbe检查超时
2. kubelet日志显示"ExecSync cmd from runtime service failed"
3. 手动删除该iptables规则后，calico-node立即恢复健康

技术背景分析

KUBE-FIREWALL规则的作用

这是Kubernetes的安全防护机制，由kubelet和kube-proxy共同维护：

• 阻止非本地地址(非127.0.0.0/8)访问本地回环地址
• 是Kubernetes的默认安全配置
• 旨在防止外部对本地服务的意外访问

Calico健康检查机制

calico-node组件通过9099端口提供健康检查接口：

1. 使用/bin/calico-node -felix-ready命令进行探测
2. 默认监听localhost(127.0.0.1)
3. 健康状态由Felix组件的InternalDataplaneMainLoop和CalculationGraph两个子系统决定

问题根源

问题的关键在于健康检查流量的源IP地址选择。在正常情况下：

• 健康检查应该使用127.0.0.1作为源地址
• 但在某些特定网络环境下，系统可能选择了非回环地址作为源IP
• 这导致流量被KUBE-FIREWALL规则丢弃

解决方案

方案一：调整Calico监听地址

修改Felix配置中的healthHost参数：

apiVersion: projectcalico.org/v3
kind: FelixConfiguration
metadata:
  name: default
spec:
  healthHost: "0.0.0.0"  # 监听所有本地接口

方案二：调整Kubernetes配置

对于kube-proxy，可以禁用localhostNodePorts：

apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
iptables:
  localhostNodePorts: false

方案三：网络配置检查

确保系统路由配置正确，使得：

1. 本地通信优先使用回环接口
2. 没有异常的路由规则影响源IP选择

最佳实践建议

1. 生产环境中建议保留KUBE-FIREWALL规则以保障安全
2. 优先采用调整Calico配置的方案
3. 在自定义内核或特殊网络环境中，需要额外关注源IP选择行为
4. 监控calico-node的健康状态，确保网络策略正常生效

总结

Calico与Kubernetes的安全机制在默认配置下通常是兼容的，但在特定网络环境中可能出现健康检查失败的情况。通过理解两者的交互机制，我们可以选择最合适的调整方案，既保障网络安全，又确保网络组件的稳定运行。对于大多数用户，调整Felix的healthHost配置是最安全可靠的解决方案。