在高安全要求环境下部署K8S集群的建议

最新推荐文章于 2023-12-12 16:58:21 发布
最新推荐文章于 2023-12-12 16:58:21 发布
阅读量573 收藏 1
点赞数
分类专栏: Kubernetes 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15983061/article/details/115522337
版权

一、前言

    在近期的某个项目中,我们需要将一套基于物理服务器的K8S环境迁移至甲方内部网络。由于现场部署周期很短,因此决定先将物理服务器运到实验室,把K8S集群及应用部署完成后打包物理机迁移至甲方机房。

    在这个项目实施过程中,遇到了几个在非高安全环境部署情况下不会出现的问题。

二、问题

1. 服务器需要根据等保三级要求配置登录策略及防火墙策略。

2. 服务器在接入实验室网络时使用的是实验室内网ip,与甲方机房ip不同网段,存在后期ip修改问题。

三、经验总结

    根据该次项目实施的过程遇到的问题,我总结了几个方面的建议。

1. 在服务器操作系统层面配置两个ip。

(1)在本次项目实施中最大的问题即是在安装完成K8S集群的情况下轻易改动服务器IP。为此采用了两个IP的配置,使用一个内部IP用于K8S集群通信,一个外部IP用于暴露应用及网络连接。

(2)在本次实施过程中甲方环境要求开启防火墙并限制端口,由于K8S中的calico和kube-proxy是动态端口启动,也研究不出具体的端口范围,由于采用了两个ip,所以直接在firewalld放行了对内部ip的全部端口,规避了因为防火墙限制导致集群异常的问题。

2. firewalld开启后需要配置允许NAT转发

(1)在本次项目实施中开启防火墙并放开端口后,发现K8S集群通信异常,ETCD状态异常,应用状态正常但是端口不通。研究后发现是calico封包通信的时候被firewalld拦截了,允许NAT转发后该问题解决。

3. 把禁止使用root远程ssh登录配置放在最后一步

(1)在做集群部署的时候,使用了ansible做自动化配置。由于服务器使用了root用户配置免密,ansible playbook中使用了root用户进行远程配置,一旦配置禁止root远程则无法使用ansible进行配置。

 

 

 

FX-Felix
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制部署k8s可用集群(二进制-V1.20).docx
06-29
说明:二进制部署k8s可用集群,内容真实有效!
k8s集群下canal-server的伪可用实践
01-07
k8s集群下canal-server的伪可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会造成ip地址的变动给我们带来了一些问题,我们通过在创建canal-server的时候使用statefuset类型,使其可以通过固定的域名去向canal-admin注册,从而保证了canal-server的连接地址的稳定不变。本文将利用容器异常自动重启这个特性,搭建一个anal-server的伪可用版本。 问题 在使用server的默认配置时
K8s集群所有细节部署文档
最新发布
03-17
K8s集群所有细节部署文档 内容简介: 1、组件版本和配置策略 2、系统初始化和全局变量 3、创建CA证书和密钥 4、部署kubectl命令行工具 5、部署etcd集群 6、部署flannel网络 7、部署master节点 8、部署woker节点 9、验证集群功能 10、部署集群插件 11、部署docker-registry 12、部署harbor-registry 13、清理集群
Docker+K8S 集群环境搭建及分布式应用部署
09-29
主要介绍了Docker+K8S 集群环境搭建及分布式应用部署,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
K8s部署openLooKeng集群
02-26
K8s部署openLooKeng集群,包括使用Dockerfile制作openLooKeng 镜像等
kubernetes1.16.3、1.17.4可用集群安装
03-18
本套课程会带领大家学习kubernetes1.16.3,kubernetes1.17.4可用集群的安装,通过keepalive+lvs实现master节点apiserver的可用,同时会安装dashboard和metrics等附加组件
谈谈做等保三级后的一些关于运维的想法
热门推荐
www.shuaibo.wang|王帅博
06-03 2万+
前言 公司现在在跑的项目基本都是通过docker镜像部署k8s集群当中,这次做等保自查,发现平台的一些危漏洞(有专业的第三方做这方面的工作),基本上都是一些ssl,php,nfs,mysql这种。 ssl 这块直接升级就行了。 php php这块我们是做了基础镜像,我这边的想法是用一个统一的基础镜像。采用Nginx+php-fpm来构建,里面可以加入一些常用的第三方库,例如memcache,redis,mongod这些。一般php的危漏洞需要升级php的小版本来解决,所以我们只需要在外面将源码编译好之
k8s 安装firewalld导致的网络疑难问题处理
weixin_40548182的博客
12-12 247
如果安装过 firewalld,并且卸载掉,造成了奇奇怪怪的问题,处理方法为再次安装 firewalld,然后执行 systemctl disable --now firewalld。如果安装了firewalld,直接卸载掉是不行的,仍然会造成奇奇怪怪的问题,比如在节点上ping pod ip 不通,traefik ingress 无法访问服务(502)等。部署k8s集群,n 台 机器,某些机器之间 telnet ip 10250不通。问题机器上安装了 firewalld
centos7部署kubernetes常见问题
weixin_41303815的博客
06-08 279
1 重新联网后ip地址的动态分配导致pod无法正常通信 解决方案 配置静态ip
k8s安装真亲测各种解决踩坑
qq_29078779的博客
07-29 3024
cat /etc/rc.d/rc.local docker start mymysql cd /work/TeamCity/ && ./bin/teamcity-server.sh start cd /work/TeamCity/buildAgent/ && ./bin/agent.sh start [root@localhost ~]# cat /etc/rc.d/rc.local
云原生k8s解密、K8S集群安装部署、Calico插件安装部署
Djdhdhskn的博客
07-06 597
【代码】kubernetes。
Docker使用Calico网络模式配置及问题处理
希的博客
11-29 2207
Calico是一种容器之间互通的网络方案,在虚拟化平台中,比如OpenStack、Docker等都需要实现workloads之间互连,但同时也需要对容器做隔离控制,就像在Internet中的服务仅开放80端口、公有云的多租户一样,提供隔离和管控机制。而在多数的虚拟化平台实现中,通常都使用二层隔离技术来实现容器的网络,这些二层技术有一些弊端,比如需要依赖VLAN、Bridge和隧道技术。其中Bridge带来了复杂性,Vlan隔离和Tunnel隧道则消耗等多的资源并对物理环境要求
kubernetes(K8S )安装部署 【保姆级步骤保成功】
Jackie_ZHF的博客
07-11 3094
(注意事项:registry.docker-cn.com有时也并不能连接上,可以采用下列国内的公共的docker镜像源: #网易: http://hub-mirror.c.163.com #中国科技大学 https://docker.mirrors.ustc.edu.cn)[NotReady 说明master和node节点之间的通信还是有问题的,容器之间通信还没有准备好]完成初始化的新建文件和目录的操作,在master上完成。创建 kube-flannel.yaml 文件。让参数生效到内核里面。
K8S集群+负载均衡层+防火墙 实例
怎么也想不出名字的博客
03-03 1315
(1)Kubernetes 区域可采用 Kubeadm 方式进行安装。(2)要求Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分,测试页面可自己定义。(3)编写service对应的yaml文件,使用NodePort类型和TCP 30000端口将Nginx服务发布出去。
k8s安装禁用iptables和firewalld
小泽
06-22 467
k8s
K8s生产环境下启用防火墙
Just do it!
07-29 1万+
简述 当初在安装K8s集群时,为了安装方便关闭了所有机器的防火墙,但是如果是生产环境,非常不安全,因此有了这篇文章。文章总结了在开启防火墙状态下,需要开放哪些端口,以及需要注意的点。 准备 服务器操作系统:Ubuntu 16.04 防火墙命令:ufw 集群: 服务器角色 名称 ip etcd etcd1、2、3 192.168.22.104、1...
安装Kubernetes为什么要关闭防火墙?
2023年最新地推相关信息
03-02 3233
部署文档上都有说明原因。 关于防火墙的原因(nftables后端兼容性问题,产生重复的防火墙规则) Theiptablestooling can act as a compatibility layer, behaving like iptables but actually configuring nftables. This nftables backend is not compatible with the current kubeadm packages: it causes duplica
Fedora 31 k8s kubernetes kubeasz 防火墙 firewalld 导致 harbor pod 容器 实例 网络不通 connect: connection refused
hknaruto的专栏
12-29 1548
防火墙开启状态,harbor pod出错 Events: Type Reason Age From Message ---- ------ ---- ---- ------- Warning Unhealthy 19m (x319 over 7h28m) kubelet, 10.51.72.167
k8s+负载均衡+防火墙
m_j_y0_0的博客
05-27 2522
(2)要求Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分,测试页面可自己定义。(5)iptables防火墙服务器,设置双网卡,并且配置SNAT和DNAT转换实现外网客户端可以通过12.0.0.1访问内网的Web服务。客户端修改网关地址,测试访问内网,刷新较慢需等待一会儿。内网ens33:192.168.247.150。
部署k8s集群k8s集群搭建详细实践版)
10-11
部署Kubernetes(k8s集群是一个复杂的过程,下面是一个详细的实践版步骤: 1. 准备环境: - 选择合适的操作系统,如Ubuntu、CentOS等。 - 准备多个节点,至少需要一个主节点和多个工作节点。 - 确保节点之间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值