почему то не удаляются старые правила пришлось их почистить после этого заработало

-A CNI-DN-c7c95e7fd132240d783bf -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-c7c95e7fd132240d783bf -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.68:8500
-A CNI-DN-01f2c6269ad13076cadf5 -s 172.16.203.72/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-01f2c6269ad13076cadf5 -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-01f2c6269ad13076cadf5 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.72:8500
-A CNI-DN-45e531d1fb7ff231d3289 -s 172.16.203.73/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-45e531d1fb7ff231d3289 -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-45e531d1fb7ff231d3289 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.73:8500
-A CNI-DN-7c4c004336bf3b305d713 -s 172.16.203.74/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-7c4c004336bf3b305d713 -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-7c4c004336bf3b305d713 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.74:8500
-A CNI-DN-c67eec897b86623bd0401 -s 172.16.203.89/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-c67eec897b86623bd0401 -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-c67eec897b86623bd0401 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.89:8500
-A CNI-DN-1d3fcf08a9cee320adba3 -s 172.16.203.90/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-1d3fcf08a9cee320adba3 -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-1d3fcf08a9cee320adba3 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.90:8500
-A CNI-DN-8cf1f441d8159e841cc18 -s 172.16.203.91/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-8cf1f441d8159e841cc18 -s 127.0.0.1/32 -p tcp -m tcp --dport 8500 -j CNI-HOSTPORT-SETMARK
-A CNI-DN-8cf1f441d8159e841cc18 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.91:8500

вот такая вот петрушка была

после чистки -A CNI-DN-8cf1f441d8159e841cc18 -p tcp -m tcp --dport 8500 -j DNAT --to-destination 172.16.203.91:8500

сейчас ради интереса удалил под у которого hostPort, запись не удалилась. Соответствено при обращении на HOST_IP:8500 перестало работать. Удалил старую запись все ок заработало. Дело действительно в том что калико не удаляет старые правила. Эм, есть какие идеи мож саму калику обновить ?

видел такое. порты стали пробрасывать через ingress-nginx-> tcp-serivices \ udp-services

там ишуй был с апреля про это ))
цылиум также себя ведет
HostPort is totally broken in kubernetes
💁🏿‍♂️

Centos8 only

вот тут где-то проблема

фикса вроде еще нет, но tcp-services\udp-services все фиксят )

вся эта ситуация с айпитаблесами вообще удручает, кажется не хватает более вменяемого механизма, дебажить портянку из 1000 правил с цепочками не очень удобно

nftables

это не важно! ! nt;s zqws

те жы яйцы

ну, во-первых, там можно к интерфейсу прилеплять BPF-программу. И там описывать все правила

куда прилеплять? речь про то, как это в кубере сделано сейчас

а во-вторых, даже если притворяться в игру с iptables, там всё-таки более человеко-читаемый синтаксис вывода

ну, тут уж 🤷‍♂️