/usr/sbin/xtables-nft-multi: No such file or directory

一、你现在的真实环境画像

1️⃣ OS & Kernel

OS: openEuler 24.03 (LTS-SP2) Kernel: 6.6.0-98.0.103.oe2403sp2.x86_64

👉新内核 + 新发行版

2️⃣ iptables 状态（关键）

iptables v1.8.9 (nf_tables)

这句话等价于：

系统正在使用iptables-nft backend

但你前面已经报错了：

/usr/sbin/xtables-nft-multi: No such file or directory

👉核心矛盾出现了：

➡️这是一个“半成品 nftables 环境”

二、为什么 openEuler 24.03 特别容易踩这个坑？

openEuler 24.03 的几个“默认行为”叠加起来，非常容易翻车：

1. 默认 iptables = nft
2. 系统最小化安装
3. 不自动拉全 xtables 组件
4. K8s / Cilium 仍以 iptables 语义为主

👉 所以你现在看到的是：

iptables 命令在
但 nft 的关键执行文件没装
规则一打就炸

三、结论先行（很重要）

在 openEuler + Kubernetes + Cilium 场景下：
👉 强烈建议切回 iptables-legacy

这是官方/社区/生产环境里最稳的做法。

⚠️ 不是你系统老，而是生态还没完全跟上 nft。

四、推荐的「一步到位」修复方案（强烈建议）

✅ 方案：切换到 iptables-legacy（稳）

1️⃣ 安装 legacy 组件（防止缺包）

yuminstall-y iptables iptables-legacy

2️⃣ 设置 alternatives（关键步骤）

alternatives --set iptables /usr/sbin/iptables-legacy alternatives --set ip6tables /usr/sbin/ip6tables-legacy alternatives --set arptables /usr/sbin/arptables-legacy alternatives --set ebtables /usr/sbin/ebtables-legacy

3️⃣ 验证（必须看到 legacy）

iptables --version

你应该看到类似：

iptables v1.8.9 (legacy)

✅ 到这一步，iptables 问题就彻底解决了

4️⃣ 重新执行你的操作

kubectl apply -f /etc/kubernetes/cilium.conf -n kube-system

这里 90% 会直接成功

五、如果你非要用 nft（我不推荐，但告诉你）

⚠️ 仅供了解，不建议在当前环境用

你需要补齐整个 nft 生态：

yuminstall-y nftables iptables-nft

确认：

ls-l /usr/sbin/xtables-nft-multi

然后：

alternatives --set iptables /usr/sbin/iptables-nft

❗ 风险：

• kube-proxy / Cilium 某些规则行为不一致
• 排障复杂度直接翻倍
• 混 legacy / nft 时问题极隐蔽

👉生产环境基本没人这么折腾

六、你这个报错本质一句话总结

不是 Cilium 的锅
不是 Pod 权限问题
不是 kubeadm 的锅
👉 是 openEuler 默认 nft + 不完整 xtables 导致的

七、我可以继续帮你做的事

如果你愿意，我可以帮你：

• ✅检查 Cilium 是否还需要额外参数（eBPF / iptables）
• ✅给你一份 openEuler + K8s + Cilium 的“避坑初始化清单”
• ✅顺手把 kube-proxy / CNI 的 iptables 依赖一次性对齐