Какая комбинация правил брандмауэра адаптирована для кубернетов с фланелью в качестве CNI

Question

Я пытался найти правильные правила брандмауэра для применения в кластере kubernetes kubeadm. с фланелью как CNI.

Я открыл эти порты: 6443 / tcp, 2379 / tcp, 2380 / tcp, 8285 / udp, 8472 / udp, 10250 / tcp, 10251 / tcp, 10252 / tcp, 10255 / tcp, 30000-32767 / tcp.

Но я всегда получаю службу, которая не может получить доступ к другим службам, или я не могу получить доступ к панели мониторинга, пока я не отключу брандмауэр. Я всегда начинаю с кластера fre sh.

kubernetes версия 1.15.4.

Есть ли в этом списке источники Подходящие правила для кластера, созданного kubeadm с фланелевым потоком внутри контейнеров?

Answer 1

Как указано в Системные требования Kubeadm:

Полное сетевое подключение между всеми компьютерами в кластере (publi c или частная сеть в порядке )

Очень распространенной практикой является размещение всех пользовательских правил на шлюзе ( AD C) или в облаке Группы безопасности . предотвратить конфликтующие правила.

Тогда вам нужно Убедиться, что инструмент IP Tables не использует бэкэнд NFTables.

Nftables бэкэнд несовместим с с текущими пакетами Kubeadm : он вызывает дублирование правил брандмауэра и приводит к нарушениям kube-proxy.

и обеспечивают открытость необходимых портов между всеми машины кластера.

Другие меры безопасности должны быть развернуты через другие компоненты, такие как:

• Сетевая политика (В зависимости от сети провайдеры )
• Вход
• RB A C и др.

Также ознакомьтесь со статьями о Защита кластера и Kubernetes Security - Руководство по передовому опыту .