Helios

@linkingli 更新的cni指的是升级的CNI的什么呢，ipam么？

@linkingli 以前的* cniVersion*是什么呢？ 你们现在这个集群多少个节点？

以前cniVersion中的0.2.0前面有个v？ 根据您ipam的host-local的设置 ```json "ipam": { "type": "host-local", "subnet": "192.168.1.0/24", "rangeStart": "192.168.1.200", "rangeEnd": "192.168.1.216", "routes": [ { "dst": "0.0.0.0/0" } ], "gateway": "192.168.1.1" } ``` 一台节点最多能有253 - 17 = 236个pod，您可以查看一下当scale到1000的时候是不是某个node上的数量超过了这个限制。 如果不是这个问题，就要查查cni的各个插件对0.3.0的实现相比于0.2.0有什么bugfix。

### 1. 尾部添加规则 ```shell 命令语法：iptables -t 表名 -A 链名 匹配条件 -j 动作 示例：iptables -t filter -A INPUT -s 192.168.1.146 -j DROP ``` ### 2. 首部添加规则 ``` 命令语法：iptables -t 表名 -I ...

### 1. -s参数用于匹配报文源地址，可以指定多个，也可以指定一个网段 ```shell #示例如下 iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP iptables -t filter -I INPUT -s 192.168.1.0/24 -j ACCEPT iptables -t filter -I INPUT ! -s ...

### 1. 创建自定义链 ```shell #示例：在filter表中创建IN_WEB自定义链 iptables -t filter -N IN_WEB ``` ### 2. 引用自定义链 ```shell #示例：在INPUT链中引用刚才创建的自定义链 iptables -t filter -I INPUT -p tcp --dport 80 -j IN_WEB ``` ### 3....

### 调试iptables ```shell iptables -t raw -A OUTPUT -p icmp -j TRACE iptables -t raw -A PREROUTING -p icmp -j TRACE ``` centos7使用： ```shell modprobe nf_log_ipv4 ``` centos6使用： ```shell modprobe...



@chen86860 谢谢，欢迎交流