关于 Rancher 与防火墙 firewalld 的一些注意事项

最新推荐文章于 2024-07-17 14:10:14 发布
最新推荐文章于 2024-07-17 14:10:14 发布
阅读量937 收藏 1
点赞数
分类专栏: Rancher 服务器运维 文章标签: docker 运维 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq12547345/article/details/126278105
版权

问题描述

按照网上安装 Rancher 教程,一般都要求先关闭防火墙,于是在关闭防火墙状态下完成安装。

systemctl stop firewalld
systemctl disable firewalld

但是由于公司安全要求,需要开启防火墙,并将 rancher 相关的端口进行开放,于是在 rancher 正常运行状态下启用防火墙。

systemctl start firewalld
systemctl enable firewalld

根据官方操作文档 点击查看 加入相关端口。

  firewall-cmd --permanent --add-port 22/tcp
  firewall-cmd --permanent --add-port 80/tcp
  firewall-cmd --permanent --add-port 443/tcp
  firewall-cmd --permanent --add-port 2379/tcp
  firewall-cmd --permanent --add-port 2380/tcp
  firewall-cmd --permanent --add-port 6443/tcp
  firewall-cmd --permanent --add-port 6444/tcp
  firewall-cmd --permanent --add-port 8443/tcp
  firewall-cmd --permanent --add-port 8472/udp
  firewall-cmd --permanent --add-port 9345/tcp
  firewall-cmd --permanent --add-port 10249/tcp
  firewall-cmd --permanent --add-port 10250/tcp
  firewall-cmd --permanent --add-port 10256/tcp
  firewall-cmd --permanent --add-port 30935/tcp
  firewall-cmd --permanent --add-port 31477/tcp
  firewall-cmd --reload

reload 之后 rancher 节点之间部分通信就异常了,一般提示为
10.xx.xx.xx:443 timeout
10.xx.xx.xx:443 no route to host
即集群节点与 rancher 主节点之间无法通信。


原因分析

firewalld 的相关操作本质上还是对 iptables 的规则操作;
docker 启动容器时也会直接操作 iptables 写入规则;
firewalld --reload 会刷新整个规则表,将 docker 写入的规则刷掉;
因此导致节点间无法访问。


解决方法

问题分析清楚了也就好解决了。

  1. 停止 docker 服务,防止写入新的规则
  2. 清空 iptables 规则列表
    # 查看当前规则
iptables -L -n
# 清空全部规则
iptables -F
  3. reload firewalld 服务,将 firewalld 配置的规则写入 iptables
    # 查看 firewalld 当前规则
firewall-cmd  --list-all
# 刷新规则,写入 iptables
firewall-cmd  --reload
  4. 启动 docker 服务,让 docker 将相关规则写入 iptables
    systemctl start docker

至此,所有规则已按顺序完全写入 iptables 中,互不影响,一切恢复正常。


注意事项

如果还是有节点间 10.42.xx.xx 或者 10.43.xx.xx 无法访问,可以加入以下规则:

  # 这两行非常非常非常重要,没有的话后续会报错,Rancher 节点间无法通信
  firewall-cmd --permanent --zone=trusted --add-source=10.42.0.0/16 
  firewall-cmd --permanent --zone=trusted --add-source=10.43.0.0/16
  firewall-cmd --reload
鬼畜的稀饭
关注
专栏目录
rancher 部署和实践
叱咤少帅的博客
01-14 345
rancher 部署和实践
Linux中的火墙策略优化(iptables,firewalld)
qq_37801888的博客
05-17 450
火墙策略优化一、火墙介绍二、火墙管理工具切换三、iptables 的使用四、火墙策略1.默认策略中的5条链2.默认的3张表3.iptables命令五.nat表中的dnat snat1.SNAT2.DNAT:六.firewalld1. firewalld的开启2.firewalld的参数管理3.firewalld的高级规则4.firewalld中的NAT 一、火墙介绍 1.netfilter 2.iptables 3.iptables | firewalld 二、火墙管理工具切换 在rhel8中默认使用的是f
Linux: 火墙策略及优化 *
weixin_47727383的博客
08-27 144
防火墙: netfilter : Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架, 提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和 基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而 在每个检测点上登记了一些处理函数进行处理。 iptables IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包..
Failed to connect to harbor.nimbus.com port 443: No route to host
最新发布
soldierofwan的博客
07-17 224
检查后发现是hosts文件内的ip信息没做更改,改正后重新执行脚本恢复正常。“推送charts/app-pems-3.5.4.tgz。检查/etc/resolv.conf是否正确;harbor服务器执行脚本推送镜像时,报错。在搭建服务器环境时改过服务器ip地址信息。检查/etc/hosts配置是否正确;检查服务器IP和配置的IP是否正确;检查服务器端口和配置的端口是否正确;查看客户机、服务器的防火墙状态。
rhel8之火墙策略
weixin_43414025的博客
03-25 512
文章目录防火墙简介iptables安装iptables 的使用 防火墙简介 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。 防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵 防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施...
8.Linux中的火墙策略优化
weixin_53228623的博客
05-13 192
火墙优化1.火墙介绍2.火墙管理工具切换3.火墙默认策略4.iptables 的使用5.firewalld1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld的高级规则6.firewalld中的NAT 1.火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 2.火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld-----&
通过防火墙策略解决k8s中ng端口漏洞
雅俗共赏的博客
10-12 3474
通过防火墙策略解决k8s部署的服务扫描出来的漏洞
Rancher平台部署与运维.docx
06-24
1. Rancher PaaS平台简介 1 2. Rancher PaaS平台部署 3 2.1. 软硬件环境需求 3 2.1.1. 硬件要求 3 2.1.2. 操作系统要求 4 2.1.3. 软件要求 4 2.1.4. 网络要求 5 2.1.5. 主机名要求 5 2.2. 规划集群拓扑 5 2.2.1. ...
Rancher安装部署与简单操作.docx
07-17
Rancher是一个开源的企业级容器管理平台。通过Rancher,企业再也不必自己使用一系列的开源软件去从头搭建容器服务平台。Rancher提供了在生产环境中使用的管理Docker和Kubernetes的全栈化容器部署与管理平台。
关于Rancher Catalog 的Online Meetup.pdf
09-20
#### 关于Rancher Catalog的进一步探讨 Rancher Catalog的在线研讨会提供了深入探讨Rancher Catalog应用和最佳实践的机会。分享人江松结合实际经验,对Rancher Catalog在真实生产环境中的使用、维护和最佳实践给出了...
保姆级搭建rancher教程
09-06
看着手册能自己搭建出来,保姆级教程,我自己一步一步写的,看完还不会的只能说你不适合运维,咱换行吧。你可以尝试去搞搞开发,开发写写代码就行。
Rancher v2.5 使用 Ingress Controller 限制集群外部 ip 访问集群服务
小康子的博客
04-17 1101
Rancher 部署工作负载,通过 NodePort 将 Service 服务映射后,无法通过防火墙策略对集群外客户端访问进行限制,在公司研发环境内存在风险,易被扫描到。经过查找资料,只能通过 Ingress 实现对服务访问的限制。
centos7部署rancher2.5详细图文教程
蘑菇猎手的专栏
12-30 4613
v2.6版本和v2.5版本差别很大,这种差异感类似于elk的7及以下版本与和8版本的区别。 看了下2.6它的文档,没有再找到单节点的相关文档,只剩下推荐rancher本身部署在一个专用的k8s集群上,以保证rancher的高可用。由于服务器资源有限,不考虑将rancher部署到专用k8s上。
rancher Api设置节点污点无效的解决办法
空山新雨后,天气晚来秋
10-17 1553
问题描述 在使用rancher进行操作时如果想设置节点污点时,你肯定会这样做 client.Node.Update(node, opts) 即通过node的update接口来编辑主机来达到设置节点污点的功能。但是当调用update修改之后(update接口返回的数据中包含请求中需要设置的taints字段)再调查看接口是看不到设置的污点的。单独调node列表/详情接口或直接使用 kubect...
rancher2 误删节点或集群怎么办?这里有一颗后悔药
码农崛起
09-14 582
本文来自Rancher Labs 作者介绍 王海龙,Rancher中国社区技术经理,负责Rancher中国技术社区的维护和运营。拥有6年的云计算领域经验,经历了OpenStack到Kubernetes的技术变革,无论底层操作系统Linux,还是虚拟化KVM或是Docker容器技术都有丰富的运维和实践经验。 在实际使用Rancher过程中,偶尔会因为误操作删除了System Workload、节点或集群, 导致集群状态异常而无法访问。如果用户不了解恢复方法,通常会重新添加节或重新搭建集群。 本文将根据
rancher2.7.5部署kubernetesv1.26版本集群
weixin_38924998的博客
01-24 2593
云原生,racher
firewalld防火墙常用命令
weixin_45290734的博客
10-06 466
1,防火墙启动 systemctl start firewalld 2.开启某个端口 firewall-cmd --permanent --zone=public --add-port=80/tcp 3.设置某个端口白名单 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="2222" accept" ......
Rancher安装部署Nginx、MQ、MySQL、Redis、微服务 - (自己记录当笔记用)
qq_35352832的博客
04-17 3244
文章目录一、安装rancher二、设置主机三、rancher开发环境、测试环境、正式环境四、rancher上部署redis笔记更新 一、安装rancher CentOS 7.0默认使用的是firewall作为防火墙 查看防火墙状态 firewall-cmd --state 停止firewall systemctl stop firewalld.service 禁止firewall开机启动 systemctl disable firewalld.service docker run -d --rest
Linux 系统通过firewall限制或开放IP及端口
weixin_40123451的博客
01-18 392
摘要:https://blog.csdn.net/ywd1992/article/details/80401630
Rancher 2.4.3 更新指南:关键变更与注意事项
"Rancher中文手册提供了对Rancher v2.4.3稳定版的详细说明,包括重大更新、新增功能、已修复问题和已知问题。这个版本涉及了Docker容器中Etcd的升级、节点池的存储驱动更改、Windows集群的安全补丁需求以及Rancher...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值