С точки зрения безопасности, это нормально, что flanneld прослушивает открытый интерфейс udp порт 8472?
Обычно kubernetes узлы живут в облаке , скрыты за десятками брандмауэров, в основном они работают в своей локальной виртуальной сети и открывают порты для общего доступа, только если администратор утверждает их вручную.
Но здесь у меня есть сервер bare-metal, который напрямую подключен к Интернету, и я не уверен, стоит ли мне добавлять правила брандмауэра для блокировки подключений извне (по умолчанию политика fw равна ACCEPT).
Например, я настроил etcd3 для прослушивания клиентских подключений на 127.0.0.1, более того, клиенты должны аутентифицировать себя с помощью tls сертификатов. Однако flannel, похоже, не имеет никакого механизма аутентификации / авторизации.
Я понимаю, что flanneld работает в Транспортном уровне . Поэтому у него есть информация из предыдущего.
Будет ли попытаться сбросить соединение с IP-адресов, которых нет в etcd?
Пока что мое последнее намерение - создать одноузловый kubernetes «кластер».