在 Kubernetes 集群里,“iptables-legacy” 和 “iptables-nft” 并不是两条完全不同的命令,而是 同一套用户态二进制 的两种 后端模式:
-
legacy 模式 → 直接调用老内核
xtables接口 -
nft 模式 → 把规则翻译成 nftables 再提交给内核
两者在 K8s 中的差异、适用内核/版本、常见踩坑如下表。
表格
| 维度 | iptables-legacy | iptables-nft |
|---|---|---|
| 依赖内核 | 3.x 即可,无 nftables 要求 | ≥ 3.13 且编译开启 CONFIG_NF_TABLES |
| 发行版默认 | CentOS 7、Debian 9、Ubuntu 16.04 | CentOS 8、RHEL 8、Debian 10+、Ubuntu 18.04+ |
| 规则存储位置 | /proc/net/ip_tables_* |
/proc/net/nf_tables |
| 性能 | 大规则集时遍历链表,O(n) | 用 nftables 哈希/集合,O(1) 查询 |
| 与 K8s 兼容性 | kube-proxy ≤1.17 默认只认 legacy;老版本 Calico/Weave 需显式 legacy | kube-proxy ≥1.18 自动优先 nft;Calico ≥3.8 支持 FELIX_IPTABLESBACKEND=NFT |
| 混用后果 | 不能混用:legacy 写的链在 nft 里看不见,反之亦然;混用会导致 Pod 跨节点不通、kube-proxy 规则失效 | |
| 检测命令 | iptables -V 无 nf_tables 字样 |
iptables -V 出现 (nf_tables) |
版本速查口诀
-
master 节点旧内核/ CentOS 7 → 只能 legacy;
要让 kube-proxy/Calico 强制 legacy:yamlenv: - name: FELIX_IPTABLESBACKENDvalue: "Legacy" -
26 网段 node 新内核/ CentOS 8+ → 默认 nft;
要让 K8s 组件用 nft:yamlenv: - name: FELIX_IPTABLESBACKENDvalue: "NFT" -
kube-proxy 1.18+ 已自带自动探测,优先 nft;若系统无 nft 则回退 legacy 。
一句话总结
legacy 兼容老内核/老系统,nft 性能更好且是新系统默认;K8s 1.18+ 能自动适配,但 CNI 仍需手动声明后端,千万别让两种模式混在一台节点上,否则规则互相不可见,Pod 网络立刻罢工。