Узлы Kubernetes никогда не должны быть напрямую подключены к Интернету.
Я предполагаю, что вы хотите предоставлять сервисы через NodePort, что в целом является плохой идеей.Потому что сервис NodePort предоставляется на узлах ALL , а не только на тех, на которых работают модули.
Вы должны разместить все узлы и мастера в частных подсетях и управлять внешним доступом через эластичные балансировщики нагрузки и вход .Таким образом, вы можете явным образом предоставлять услуги веб-интерфейса Интернету.
Соответствующий фрагмент kops-spec.yaml будет:
topology:
dns:
type: Public
masters: private
nodes: private