kubernetes - 什么防火墙规则组合适用于 kubernetes 和法兰绒作为 CNI
问题描述
我一直在尝试找到适用于 kubernetes kubeadm 集群的正确防火墙规则。用法兰绒作为 CNI。
我打开了这些端口: 6443/tcp、2379/tcp、2380/tcp、8285/udp、8472/udp、10250/tcp、10251/tcp、10252/tcp、10255/tcp、30000-32767/tcp。
但是我总是得到一个无法访问其他服务的服务,或者我自己无法访问仪表板,除非我禁用防火墙。我总是从一个新的集群开始。
Kubernetes 版本 1.15.4。
是否有任何来源列出了适用于 kubeadm 创建的集群的合适规则,其中 flannel 在容器内运行?
解决方案
集群中所有机器之间的全网络连接(公共或私有网络都可以)
一种非常常见的做法是将所有自定义规则放在网关 ( ADC ) 或云安全组中,以防止规则冲突。
然后你必须确保 IP Tables 工具不使用 NFTables 后端。
Nftables后端与当前的Kubeadm包不兼容:它会导致重复的防火墙规则和中断 。
kube-proxy
其他安全措施应通过其他组件部署,例如:
另请查看有关保护集群和Kubernetes 安全性 - 最佳实践指南的文章。
推荐阅读
- symfony - 为什么 codecoverage 要我覆盖定义变量?
- python - 使用 Tkinter 按钮控制 IP 摄像机 (Python)
- azure-hdinsight - Namenode 正常运行时间指标 Ambari 服务器
- python - Urwid:具有不同外观的按钮的选项
- kubernetes - 自动缩放 Pod 时,kubernetes 是否会在新机器上运行新的虚拟机?
- python - 导入类对象列表时出现语法错误
- reactjs - 互斥列表项和切换文本
- python - 如何控制 matplotlib.pyplot.imshow 中像素的颜色?
- python - 保存文件时,我的写入参数的 TypeError 必须是字符串
- reporting-services - SSRS 2019 自定义 CSS