通过iptables来限制K8S的nodeport

最新推荐文章于 2024-04-30 21:59:16 发布
最新推荐文章于 2024-04-30 21:59:16 发布
阅读量1.5k 收藏 4
点赞数 2
文章标签: kubernetes 网络 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44207346/article/details/129698824
版权

问题:

  • 因为K8S服务开启了nodeport,对外暴露的端口30001端口,但是要求对30001端口进行限制,只允许个别IP访问

解决思路:

  • 通过添加iptables策略,来限制某些主机的访问
    经实践:发现不论在iptables的filler表中添加规则,都无法对k8s的nodeport生效

分析原因:
在这里插入图片描述
上图为iptables策略图
K8S网络经过 PREROUTING 进入 KUBE-SERVICES,由于 nat 在 filter 之前,所以在 INPUT 链做限制不会起作用

kube-proxy 在 ipvs 模式下自定义了八条链,分别为 KUBE-SERVICES、KUBE-FIREWALL、KUBE-POSTROUTING、KUBE-MARK-MASQ、KUBE-NODE-PORT、KUBE-MARK-DROP、KUBE-FORWARD、KUBE-LOAD-BALANCER

NodePort的过程:

  1. NAT表PREROUTING
    在这里插入图片描述

  2. PREROUTING的规则非常简单,凡是发给自己的包,*(经过KUBE-SERVICES直接转发给KUBE-NODEPORTS)则交给子链KUBE-NODEPORTS处理 KUBE-NODEPORTS规则如下:
    在这里插入图片描述
    在这里插入图片描述
    其中通过KUBE-MARK-MASQ给包打0x4000/0x4000的标记,然后交给子链KUBE-SVC-UVFA6R2T7DODYNMU处理,具体流程如下:
    在这里插入图片描述
    其功能就是按照概率均等的原则DNAT到其中一个Endpoint
    IP,即就是通过DNAT把该主机的30090端口的访问转发至->10.233.10.67:443上
    以上流程可以归纳为:
    外部主机访问master01:30090->NAT表PREROUTING->NAT表KUBE-SERVICES(因为不是CLUSTER_IP,因此不用判断,直接进入下一步)->NAT表KUBE-NODE-PORT->NAT表KUBE-MARK-MASQ->NAT表KUBE-SVC-UVFA6R2T7DODYNMU->DNAT把该主机的30090端口的访问转发至->10.233.10.67:443上    *[如果10.233.10.67不是该节点上的pod,则会通过cni网络插件“calico或者fannel”转发至对应节点的pods上]**

CLUSTER_IP的流程
clusteip为10.223.13.16
在这里插入图片描述
查看ipvs配置,发现策略为rr
在这里插入图片描述
在这里插入图片描述
并且创建了对应的虚拟网卡上添加了对应的svc的clusterip
在这里插入图片描述
iptables的Service,ClusterIP是一个虚拟的IP,因此这个IP是ping不通的,但ipvs中这个IP是在每个节点上真实存在的,因此可以ping通
因此经过ipvs,ipvs会从RS ip列中选择其中一个Pod ip作为目标IP:
即从10.223.13.16:27782 ->10.223.90.130:27782
查看nat表OUTPUT安全组规则:
在这里插入图片描述
以上规则的内容所有访问clusterip的包都打上0x4000
在这里插入图片描述
没看懂,最后是要做SNAT转发,即通过MASQUERADE【地址伪装,算是snat中的一种特例,可以实现自动化的snat】把包转发出去,最终通过calico或者flannel转发出去到对用的pods所在地主机上
流程就是:
nat表OUTPUT->nat表KUBE-SERVICES->nat表KUBE-MARK-MASQ->nat表POSTROUTING->nat表KUBE-POSTROUTING->nat表MASQUERADE

解决方法
在 PREROUTING 中加入一条规则,将要屏蔽的ip直接DNAT到一个不用的端口,这样就不会在PREROUTING 的时候直接跳过INPUT进入K8S网络中
iptables -t nat -I PREROUTING -p tcp ! -s x.x.x.x/30 --dport 30001-j REDIRECT --to-ports 65535

花蹦蹦精他哥
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s iptables_study.docx
02-14
关于k8s iptables的学习,分析了k8s是如何使用iptables的,以及iptable里面的规则。用于了解外部访问k8siptables所发挥的作用,便于知道数据流的走向。
K8S安装详细教程,步骤1,2,3
10-23
尽管 Kubernetes 在版本 v1.6 中已经支持 ... 在 5000 节点集群中使用 NodePort 服务,如果有 2000 个服务并且每个服务有 10 个 pod,这将在每个 工作节点上至少产生 20000 个 iptable 记录,这可能使内核非常繁忙。
理解kubernetes环境的iptables
weixin_33804582的博客
09-04 423
node节点的iptables是由kube-proxy生成的,具体实现可以参见kube-proxy的代码 kube-proxy只修改了filter和nat表,它对iptables的链进行了扩充,自定义了KUBE-SERVICES,KUBE-NODEPORTS,KUBE-POSTROUTING,KUBE-MARK-MASQ和KUBE-MARK-DROP五个链,并主要通过为 KUBE-SERVICE...
kube-proxy工作模式解析(一) -- iptables
polarwu的博客
09-26 2687
我们都知道在创建service资源对象时,会为该服务分配一个虚拟的ip地址,我们访问该ip时,它会将请求转发到具体的后端pod上。service的作用就相当于反向代理,我们需要理解的是这个服务的ip是虚拟的,既然它是虚拟的,那我们是通过什么机制去访问的呢。service在很多情况下只是一个概念,而真正让service发挥作用的其实是kube-proxy组件,我们需要理解kube-proxy的原理和...
【云原生】k8s 前置环境 网络配置 VMware Linux共享上网(iptables forward)
一zhi小白的博客
02-17 994
Linux 共享上网 VMware iptables forward
如何打开服务器上的某个端口
jiahehao的专栏
07-10 7187
公司同事开发了一个小软件,可以很方便的管理网站,但是在服务器上安装完以后,发现本地无法连接到服务器上那个软件,经过一系列排查,基本可以认定为服务器的这个端口没有打开。<br /><br />      开发的这个软件使用的是30001和30010两个TCP端口。通过咨询机房技术人员,告知这两个端口在机房的路由器中是打开的。这样问题只能出在服务器上。首先我们想到了服务器的防火墙,我们都知道当启用了系统自带的防火墙以后,可以在里面设置打开指定的端口,但是当前这台服务器根本没有启用防火墙。更别说在里面设置可以生效
K8s基础8——svc基础使用、应用暴露、iptables代理、ipvs代理
百慕卿君博客
05-08 4507
1、service概念和基础使用,支持协议类型。 2、应用暴露,ClusterIp、NodePort、LoadBalancer。 3、svc负载均衡之iptables代理、ipvs代理。
k8siptables与ipvs详解——2023.05
我是小bā吖的博客
05-30 3513
k8s的1.8版本开始,kube-proxy引入了IPVS模式,IPVS模式与iptables同样基于Netfilter,但是ipvs采用的hash表,iptables采用一条条的规则列表。iptables又是为了防火墙设计的,集群数量越多iptables规则就越多,而iptables规则是从上到下匹配,所以效率就越是低下。因此当service数量达到一定规模时,hash查表的速度优势就会显现出来,从而提高service的服务性能。
k8s使用的iptables,具体原理是什么?一学就会
hugo_lei的博客
08-05 1850
不是我吹牛,真的一学就会。针对kube-proxy使用的iptables技术,本文图文并茂、深入浅出的解释了netfilter,rule,table,chain等,看似高深的概念,你现在也能完全掌握。
k8s网络原理之iptables
johnhuster的专栏
11-18 484
k8s网络原理之iptables
如何查看k8skube-proxy的模式是ipvs还是iptables
小诸葛的博客
06-29 2733
如果日志中显示了 "Using iptables Proxier",则表示 kube-proxy 使用 iptables 模式。如果没有显示该行或者显示了 "Using ipvs Proxier",则表示 kube-proxy 使用 IPVS 模式。2. 直接在 kube-proxy 所在的节点上查看 kube-proxy 的日志文件。请注意,查看 kube-proxy 的模式需要在 kube-proxy 所在的节点上执行,而不是在集群控制节点上执行。,则表示 kube-proxy 使用 IPVS 模式。
K8S-iptablesK8S中的应用剖析
weixin_60092693的博客
07-15 2122
仅自己学习笔记
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
通过iptables实现端口转发和内网共享上网.docx
09-30
通过iptables实现端口转发和内网共享上网
k8s 网络通信详解
11-12
不同的网络命名空间中,协议栈是独立的,完全隔离,彼此之间无法通信。同一个网络命名空间有独立的路由表和独立的Iptables/Netfilter来提供包的转发、NAT、IP包过滤等功能。
k8s环境prometheus operator监控集群外资源
最新发布
mingqing的博客
04-30 1036
参考网站 k8s环境添加其他节点 参考文档 文档一 文档二 基于prometheus operator 引入外部exporter参考文档 rabbitmq 引入外部exporter参考文档 windows exporte 监控 K8s 集群外服务的两种方式 k8s环境prometheus operator添加node-exporter 方式一:通过 ServiceMonitor 方式 创建 Service 和 ServiceMonitor 文件名为 external-node.yaml /root/test
k8s:精通 Pod 操作的关键命令
weixin_43784341的博客
04-29 951
这些命令可以帮助你在 Kubernetes 中管理和操作 Pod,使你能够轻松地创建、查看、删除和调试 Pod,并进行其他相关操作。
记录k8s以docker方式安装Kuboard v3 过程
weixin_67727883的博客
04-28 498
记录k8s以docker方式安装Kuboard v3 过程
k8s中以deployment方式部署minio
rockstics的博客
04-28 462
题外话:由于我通过MINIO_SERVER_URL指定了minio的内网访问域名,导致登录minio报"invalid login"的问题,刚开始以为是挂载的数据路径中有.minio.sys 相关信息(包括minio配置信息包括用户密码,assce_key等信息)被其他容器挂载无效,实践证明不是这样的,后来才发现是因为容易内无法解析我的内网域名导致的,解决方案就是直接进行host绑定。因此这里改用deplyment的方式部署minio。以下是完整的minio部署清单。
k8s安装iptables
08-12
要在Kubernetes中安装iptables,您可以按照以下步骤进行操作: 1. 登录到Kubernetes集的主节点或管理。 2. 确保您有root或具有权限的用户。 3. 检查iptables是否已经安装。可以使用以下命令进行检查: ```shell iptables --version ``` 如果没有安装,请继续下一步。 4. 使用包管理器安装iptables。如果您使用的是Debian/Ubuntu系统,可以使用以下命令进行安装: ```shell sudo apt-get update sudo apt-get install -y iptables ``` 如果您使用的是Red Hat/CentOS系统,可以使用以下命令进行安装: ```shell sudo yum install -y iptables ``` 根据您使用的Linux发行版和版本,安装命令可能会有所不同,请根据实际情况进行调整。 5. 安装完成后,您可以验证iptables是否成功安装。使用以下命令: ```shell iptables --version ``` 您应该能够看到安装的iptables版本号。 请注意,Kubernetes网络插件通常会自动配置和管理iptables规则。因此,如果您使用的是常见的网络插件(如Calico、Flannel等),则不需要手动设置iptables规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值