Rancher技术特性全解及容器网络解决方案(4)

具体转发规则对应的 ebtables 规则如下所示：

Drop?All?traffic?from?veth-cni?except:
IP?response?from?169.254.169.250
ARP?response?from?10.43.0.2
ebtables?-t?broute?-A?BROUTING?-i?veth-cni?-j?DROP
ebtables?-t?broute?-I?BROUTING?-i?veth-cni?-p?ipv4?--ip-source?169.254.169.250?-j?ACCEPT
ebtables?-t?broute?-I?BROUTING?-i?veth-cni?-p?arp?--arp-opcode?2?--arp-ip-src?10.43.0.2?-j?ACCEPT

Drop?ARP?request?for?10.43.0.2?on?eth1
ebtables?-t?nat?-D?POSTROUTING?-p?arp?--arp-opcode?1?--arp-ip-dst?10.43.0.2??-o?eth1?-j?DROP

另外也可以在容器所在的主机上将 Docker0 的 bridge 和 CNI 的 bridge 做三层打通,并使用 iptables 来进行控制,目前这个方式还在测试中.

（编辑：ASP站长网）