零基础搭建k8s集群(三)- 提前放行相关的网络端口

已于 2023-09-18 23:19:03 修改
阅读量545 收藏 1
点赞数 2
分类专栏: k8s的探索之路 分布式 高可用 文章标签: kubernetes 网络 容器
于 2023-09-14 18:13:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethenoscar2011/article/details/132887953
版权

关联文章列表

前言

本文讲解网络端口的放行,如果您是本地测试并且完全关闭了网络防火墙的,可以直接跳过本文介绍!

端口介绍

💡 防火墙需要放行哪些端口,通常需要开启以下端口:

  • TCP端口:6443、2379-2380、10250、10251、10252、10255、30000-32767
  • UDP端口:8285
端口协议说明
6443TCP用于 Kubernetes API Server 的访问
2379-2380TCP用于 etcd 数据库的通信
10250TCP用于 kubeletAPI Server 通信
10251TCP用于 kube-scheduler 的选举通信
10252TCP用于 kube-controller-manager 的选举通信
10255TCP用于 kubelet 的只读 API Server 通信
30000-32767TCP用于 NodePort 类型的 Service 的访问
8285UDP用于 kube-proxy 的 UDP 数据包转发
8472UDPflannel 网络使用的 VxLAN 端口

需要注意的是,这些端口只是 Kubernetes 集群中通信和交互的常用端口,实际使用时可能还需要根据具体情况进行调整和配置。同时,还需要根据集群环境和网络环境等因素,合理地配置防火墙规则,保证集群的安全性和稳定性。

添加防火墙规则

# 为 IPv4 添加规则放行 VRRP 通信(IP 协议号 112)
sudo iptables -I INPUT -s 10.12.3.0/24 -i eth0 -p 112 -j ACCEPT
# 
为 IPv6 添加规则(如果需要)
sudo ip6tables -I INPUT -s 10.12.3.0/24 -i eth0 -p 112 -j ACCEPT

# 如果您使用 Ingress 和 ClusterIP 类型的 Service 对外提供服务,而不是 NodePort 类型的服务,
# 那么您不需要放行 NodePort 范围内的端口(30000-32767)
# 所以下面的规则按照实际需要看看是否需要调整
sudo iptables -A INPUT -s 10.12.3.0/24 -p tcp -i eth0 -m multiport --dports 6443,2379:2380,10250,10251,10252,10255,30000:32767 -j ACCEPT
sudo iptables -A INPUT -s 192.168.3.0/24 -p tcp -i eth0 -m multiport --dports 6443,2379:2380,10250,10251,10252,10255,30000:32767 -j ACCEPT
sudo iptables -A INPUT -s 10.12.3.0/24 -p udp -i eth0 -m udp --dport 8285 -j ACCEPT
sudo iptables -A INPUT -s 192.168.3.0/24 -p udp -i eth0 -m udp --dport 8285 -j ACCEPT
sudo iptables -I INPUT -s 10.12.3.0/24 -p udp -i eth0 -m udp --dport 8472 -j ACCEPT
sudo iptables -I INPUT -s 192.168.3.0/24 -p udp -i eth0 -m udp --dport 8472 -j ACCEPT

# 保存 iptables 配置 centos 7 可用
sudo service iptables save
sudo service ip6tables save
# 对于 CentOS 8,您需要安装 iptables-services 软件包才能使用 iptables save 命令
sudo yum install -y iptables-services
sudo systemctl enable --now iptables
sudo systemctl enable --now ip6tables
sudo iptables-save > /etc/sysconfig/iptables
sudo ip6tables-save > /etc/sysconfig/ip6tables

# 将规则保存到 /etc/sysconfig/iptables文件中 
sudo iptables-save | sudo tee /etc/sysconfig/iptables
# 重启iptables服务使其生效
sudo systemctl restart iptables
# 需要注意的是,在添加规则之前,可以使用以下命令备份当前的iptables规则
sudo iptables-save > /etc/sysconfig/iptables.bak
# 如果需要恢复之前备份的 iptables 规则,可以使用以下命令
sudo iptables-restore < /etc/sysconfig/iptables.bak

# 【注意】 这条规则在集群搭建网络组件后执行
iptables -A RH-Firewall-1-INPUT -s 10.244.0.0/16 -m state --state NEW -j ACCEPT
不认输的猴
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Hyper-V下搭建K8S集群-07-在本地给远程k8s集群安装DashBoard
01-07
我们已经在win10的hyper-v里搭建了一个k8s集群,有两个节点:一个master,一个node1。并且在win10本地配置了集群管理工具,来访问这个集群。这一节我们就使用本地的yaml文件来为远程k8s集群部署DashBoard. 1.配置...
k8s初探-本地简单搭建k8s集群
11-13
在本地搭建K8S集群可以帮助开发者更好地理解Kubernetes的工作原理,并进行测试和开发。 首先,了解K8S的核心概念至关重要: 1. **Pod**:Kubernetes的基本执行单元,它是容器化应用的最小部署单元。Pod可以包含一...
部署k8s需要开放的端口
cyw8998的专栏
01-04 461
可以不关闭防火墙,只需要开启这些端口就行了。
部署k8s,内网之间需开放的端口
m0_63004677的博客
02-28 821
在部署k8s时,如果服务器直接之间节点有端口限制,需要开放以下端口。(踩过的坑,部署k8s的时候,服务器之间端口存在限制,导致一直不停的放开一些端口,这些是总结的需要开放的端口
k8s集群开放防火墙策略
最新发布
qq_42895490的博客
06-23 629
在生产环境部署 k8s 的过程中,基于安全的需要,可能需要开启 firewalld。本文将介绍 firewalld 的使用方式以及 k8s 集群所需开放的端口
K8s 所有常用端口
热门推荐
多回访
01-14 1万+
协议 端口K8s TCP 22 使用主机驱动通过SSH进行节点配置 TCP 2376 主机驱动与Docker守护进程通信的TLS端口 TCP 2379 etcd客户端请求 TCP 2380 etcd节点通信 UDP 8472 Canal/Flannel VXLAN overlay 网络 UDP 4789 Windows集群中Flannel VXLAN overlay网络 TCP 9099 Canal/Flannel健康检查 TCP 9796 集群监控拉取节点指...
云原生 k8s 可能使用到的端口整理【不定期更新】
一只奋斗的猪
01-30 1794
`k8s` 因为涉及到的组件太多了,所以端口有很多,这里整理了日常所接触的接口,后续有新的再更新。
记一次k8s中service端口限制在30000-32767问题排查
weixin_45290734的博客
09-09 2771
问题 今天利用service暴露nodePort端口80报以下错误 he Service “webapp” is invalid: spec.ports[0].nodePort: Invalid value: 80: provided port is not in the valid range. The range of valid ports is 30000-32767 这是因为apiserver默认限制了端口,默认就是30000-32767这个范围。 如果需要将这个范围放开可以在/etc/kub
云原生Kubernetes:K8S常用服务端口
cronaldo91的博客
09-05 1439
表2 prometheus监控集群端口。(2)prometheus监控集群。表1 K8S集群端口
CentOS 7部署k8s集群(v1.19.16)
02-22 1028
CentOS 7部署k8s集群(v1.19.16)
搭建k8s集群实战操作】十分钟快速搭建k8s集群模式-多master多node
05-06
搭建 k8s 集群实战操作指南 在本篇文章中,我们将学习如何快速搭建 k8s 集群,包括安装 sealos、下载离线资源包、安装 k8s 集群、解决常见错误等。 sealos 简介 sealos 是一个基于 Golang 的二进制工具,用于...
k8s集群下canal-adapter连接canal-server实践
01-07
k8s集群下adapter连接server域名问题改造前言问题解析解决方案 前言 成也容器重启,败也容器重启,说好的重启治百病,在容器这里,是重启出百病啊! 之前说过,我们使用statefuset类型使canal-server域名固定之后又...
k8s集群下canal-server的伪高可用实践
01-07
前面我们已经介绍了canal的admin、server、adapter个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会造成ip地址的变动给我们带来了一些问题,我们通过在创建canal-...
通过防火墙策略解决k8s中ng端口漏洞
雅俗共赏的博客
10-12 3440
通过防火墙策略解决k8s部署的服务扫描出来的漏洞
K8S所有常用端口
weixin_51134188的博客
12-13 2392
K8s生产环境下启用防火墙
梦想起飞的地方.........
03-05 2979
K8s生产环境下启用防火墙 当初在安装K8s集群时,为了安装方便关闭了所有机器的防火墙,但是如果是生产环境,非常不安全,因此有了这篇文章。文章总结了在开启防火墙状态下,需要开放哪些端口,以及需要注意的点。 准备 服务器操作系统:Ubuntu 16.04 防火墙命令:ufw 集群: 设置 开放etcd集群所需端口2379(客户端监听)和2380(节点间内部通信) ufw ...
K8s部署实践
scholery的专栏
12-24 1255
服务器准备 服务器 功能 ip 备注 A 管理节点 B C
kubernetes按照后,服务器防火墙需要开放哪些端口
lkmtao的专栏
03-20 1023
一般安装kubernetes的教程都会教大家首先关闭防火墙,实验环境如此倒是没问题,到了生产环境就离谱了,所以服务器的防火墙依然需要保持最小策略开放,确保服务器的运行安全。限制流量进出worker节点:你可能需要根据安全策略限制worker节点上的流量,例如限制来自外部网络的流量。可以使用防火墙软件的相关命令来限制流量。在Kubernetes中,通常是通过操作系统提供的防火墙软件来管理worker节点的防火墙。确认所使用的操作系统和防火墙软件:不同的操作系统和防火墙软件可能有不同的配置方式和命令。
基于K8s 1.8.3版本的集群搭建指南
K8s集群搭建手册(超级详细) Kubernetes(简称K8s)是一种开源容器编排系统,可以自动化部署、扩展和管理容器化应用程序。以下是K8s集群搭建手册的详细步骤。 环境准备 在开始搭建K8s集群之前,需要准备好服务器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不认输的猴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值