k8s集群开放防火墙策略

最新推荐文章于 2024-09-11 01:58:25 发布
最新推荐文章于 2024-09-11 01:58:25 发布
阅读量1.9k 收藏 12
点赞数 3
分类专栏: k8s 文章标签: kubernetes 云计算 运维 云原生 容器 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42895490/article/details/139903694
版权

在生产环境部署 k8s 的过程中,基于安全的需要,可能需要开启 firewalld。本文将介绍 firewalld 的使用方式以及 k8s 集群所需开放的端口。

firewalld 的使用

firewalld 是一个防火墙的管理工具,是 iptables 的管理规矩。

firewalld 添加规则的方式主要有两种: 直接添加端口和 rich rule。

直接添加端口

执行以下命令可以直接添加端口:

firewall-cmd  --add-port=80/tcp --permanent ##在 public 区域开放一个端口
firewall-cmd  --add-port=80-8080/tcp --permanent ##在 public 区域开放 80-8080 端口

添加 rich rule

执行以下命令即为添加一条 rich rule 规则:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" port port=22 protocol=tcp accept' ##允许 192.168.1.100/24 访问 22  端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" accept' ##此服务器允许所有地址访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" destination address="192.168.1.100" port=80 reject' ##拒绝所有地址访问 80,限制服务器访问 192.168.1.100 的 80 端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0"  accept' ##允许服务器访问所有地址

以上是两种防火墙规则的添加方法,这两种防火墙策略添加方式的主要区别是:是否需要精确的进行网络控制。例如:

firewall-cmd  --add-port=80/tcp --permanent 
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" port port=80 protocol=tcp accept'

这两天的本质区别是:第二条 rich rule 限制了 80 端口只能让 192.168.1.100/24 这个网段进行访问。如果直接使用直接使用第一条规则等价于 rich rule 规则为:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0"  destination address="0.0.0.0/0" port port=80 protocol=tcp accept'

k8s 需要开放的端口

再聊完如何添加端口后,接下来介绍 k8s 需要开放哪些端口。

以下列表是整理出来一个刚刚搭建完成的 k8s 集群需要开放的端口:

主机类型端口类别端口号
masterkube-apiserver6443
etcd2379-2380
kubelet10250
haproxy16443
workerkubelet10250

执行以下命令进行端口开放:

## master
firewall-cmd --permanent --add-port=2379-2380/tcp
firewall-cmd --permanent --add-port=10250/tcp
firewall-cmd --permanent --add-port=16443/tcp
firewall-cmd --permanent --add-port=6443/tcp
firewall-cmd --add-masquerade --permanent ##允许进行地址进行转换
firewall-cmd --reload

## worker
firewall-cmd --add-masquerade --permanent ##允许进行地址进行转换
firewall-cmd --permanent --add-port=10250/tcp
firewall-cmd --reload

后记

K8S系列】K8S集群 15个 常见问题及解决方案总结,建议收藏
颜淡慕潇
10-23 1万+
Kubernetes 集群的使用过程中,用户可能会遇到各种问题。以下是 15 个常见问题及其详细描述、故障排查步骤、常见错误信息和解决方案,帮助用户更有效地管理和维护 Kubernetes 环境。
k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法
weixin_44670774的博客
05-06 1078
我们使用k8s的网络插件是calico时,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。
k8s使用calico网络插件时,集群内节点防火墙策略配置方法
weixin_44670774的博客
04-18 2479
我们在内网使用k8s时,有时候需要针对整个集群的节点设置防火墙,阻止一些外部访问,或者是仅允许白名单内的ip访问。本文给出了一种在网络插件是Calico时的解决方法
K8s生产环境下启用防火墙
梦想起飞的地方.........
03-05 3203
K8s生产环境下启用防火墙 当初在安装K8s集群时,为了安装方便关闭了所有机器的防火墙,但是如果是生产环境,非常不安全,因此有了这篇文章。文章总结了在开启防火墙状态下,需要开放哪些端口,以及需要注意的点。 准备 服务器操作系统:Ubuntu 16.04 防火墙命令:ufw 集群: 设置 开放etcd集群所需端口2379(客户端监听)和2380(节点间内部通信) ufw ...
15.k8s集群防火墙配置
云上凯歌
10-30 1010
15.k8s集群防火墙配置。
开启防火墙如何部署k8s
梦想起飞的地方.........
03-05 1970
开启防火墙如何部署k8s 你可以不关闭防火墙,只需要开启这些端口就行了 MASTER节点 6443* Kubernetes API server 2379-2380 etcd server client API 10250 Kubelet API 10251 kube-scheduler 10252 kube-controller-manager 10255 Read-only Kubelet ...
搭建 K8S 环境:Centos7安装生产环境可用的K8S集群图文教程指南
极客星云-CSDN博客
12-15 1215
Centos7 安装 K8S 图文实战教程
K8S集群忘关防火墙
10-10
K8S集群忘关防火墙可能导致网络连接问题和安全漏洞。如果忘记关闭防火墙,可能会导致节点间的通信受阻,服务无法正常访问。此外,未关闭防火墙也会增加攻击者入侵的风险。 为了解决这个问题,您可以按照以下步骤...
k8s+负载均衡+防火墙
m_j_y0_0的博客
05-27 3844
(2)要求在 Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分,测试页面可自己定义。(5)iptables防火墙服务器,设置双网卡,并且配置SNAT和DNAT转换实现外网客户端可以通过12.0.0.1访问内网的Web服务。客户端修改网关地址,测试访问内网,刷新较慢需等待一会儿。内网ens33:192.168.247.150。
通过防火墙策略解决k8s中ng端口漏洞
雅俗共赏的博客
10-12 3521
通过防火墙策略解决k8s部署的服务扫描出来的漏洞
K8S集群+负载均衡层+防火墙 实例
怎么也想不出名字的博客
03-03 1529
(1)Kubernetes 区域可采用 Kubeadm 方式进行安装。(2)要求在 Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分,测试页面可自己定义。(3)编写service对应的yaml文件,使用NodePort类型和TCP 30000端口将Nginx服务发布出去。
iptables防火墙的通俗理解,和k8s中的iptables策略使用
2401_84019227的博客
09-06 1351
但是从k8s集群内部看,不同名称空间的资源是完全独立的,比如网络ip,文件系统,挂载,持久卷,用户和组,进程id,消息队列,信号量,主机名,这些如果不在同一个名称空间下,是看不到别的名称空间的这些资源的。所以,在用kubectl管理k8s集群的时候,如果没有指定名称空间,比如kubectl get pods,看一下有哪些pod,这个是默认看的是default名称空间下的pod,如果要看lucky名称空间下的pod,就需要用kubectl -n lucky get pods来查看。
K8S内容分发网络之集群,nginx,负载均衡,防火墙
Riky12的博客
09-25 1144
要求在 Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分。(1)所有节点上传flannel镜像 flannel.tar 到 /opt 目录,master节点上传 kube-flannel.yml 文件。(3)复制镜像和脚本到 node 节点,并在 node 节点上。(2)所有节点安装kubeadm,kubelet和。
零基础搭建k8s集群(三)- 提前放行相关的网络端口
ethenoscar2011的博客
09-14 779
本文讲解网络端口的放行,TCP端口:6443、2379-2380、10250、10251、10252、10255、30000-32767UDP端口:8285端口协议说明6443TCP用于的访问2379-2380TCP用于etcd数据库的通信10250TCP用于kubelet的API Server通信10251TCP用于的选举通信10252TCP用于的选举通信10255TCP用于kubelet。
Kubernetes集群开启Firewall
weixin_30254435的博客
08-23 889
关于端口的官方说明:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/install-kubeadm/ k8s master需要开启以下端口 firewall-cmd --permanent --add-port=6443/tcp firewall-cmd --permanent --...
k8s防火墙networkPolicy,的核心是“自己”
最新发布
2401_84019227的博客
09-11 988
xxx.xxx.xx.x/32 # 允许某个网段,但除了这个ip。2. 从哪个名称空间进来的,就设置namespaceSelector,k8s防火墙,考虑如何配置,就是从“自己”出发,去看待流量的流向。4. 从哪些标签的pod来的,就设置podSelector。是允许哪些流量来访问我,就是ingress from,1. 从哪个端口进来的,就设置ports,3. 从哪些ip来的,就设置ipBlock。那么,没有说明的,就是不让ingress。写了规则的,是允许进入和出去的流量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

启明真纳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值