По умолчанию kubeadm + calico использует NAT для NAT любого входящего соединения, которое не из pod_ip.
У меня есть calico, публикующий сервисную сеть во внешнюю локальную сеть, и я бы предпочел, чтобы сервисные модули использовали фактические клиентские IP-адреса, а не преобразованный IP.
В частности, он добавляет
-A KUBE-SERVICES! -s 172.16.0.0/16 -d 172.20.160.251/32 -p tcp -m comment --comment "телеметрия / pipeline-cdn: http-кластер IP" -m tcp --dport 5000 -j KUBE-MARK-MASQ
в iptables.
Хотя это не является непосредственной проблемой, в будущем это увеличивает риск временного исчерпания портов и общих трудностей с отслеживанием соединений и протоколированием клиентов, обращающихся к моим веб-службам.
С некоторой справкой от Слабого Clico я понял это.
Короткий ответ, это делает то, что это должно сделать, оставить его в покое.
Красноречивый ответ
https://www.asykim.com/blog/deep-dive-into-kubernetes-external-traffic-policies