使用iptables阻止来自集群外部的所有Kubernetes节点端口通信
出于安全原因,我想阻止所有基于kubeadm的现场Kubernetes工作节点转发节点端口流量 我试着向一名工人申请显而易见的:使用iptables阻止来自集群外部的所有Kubernetes节点端口通信,kubernetes,iptables,Kubernetes,Iptables,出于安全原因,我想阻止所有基于kubeadm的现场Kubernetes工作节点转发节点端口流量 我试着向一名工人申请显而易见的: iptables-I输入1-ptcp-m多端口-dports 30000:32767-j丢弃 但它似乎不起作用 我在-I FORWARD 1上也尝试了同样的方法,但服务仍然打开 有什么建议吗 #iptables-L输入-行号-n 链输入(策略接受) num目标保护选项源目标 1接受全部--127.0.0.1 0.0.0.0/0 2拒绝tcp--0.0.0.0/0.0
iptables-I输入1-ptcp-m多端口-dports 30000:32767-j丢弃
-I FORWARD 1#iptables-L输入-行号-n
链输入(策略接受)
num目标保护选项源目标
1接受全部--127.0.0.1 0.0.0.0/0
2拒绝tcp--0.0.0.0/0.0.0.0/0 tcp dpt:10250拒绝,icmp端口不可访问
3 KUBE-SERVICES all--0.0.0.0/0.0.0/0 ctstate NEW/*kubernetes服务门户*/
4 KUBE-EXTERNAL-SERVICES all--0.0.0.0/0.0.0.0/0 ctstate NEW/*kubernetes外部可见服务门户*/
5 KUBE-FIREWALL all--0.0.0.0/0.0.0.0/0
6 WEAVE-NPC-ExpressAll--0.0.0.0/0.0.0.0/0
#iptables-L转发-行号-n
链前进(保单下降)
num目标保护选项源目标
1 WEAVE-NPC-Exgress all--0.0.0.0/0.0.0.0/0/*注:此项必须在“-j KUBE-FORWARD”之前*/
2 WEAVE-NPC all--0.0.0.0/0.0.0.0/0/*注意:这必须在“-j KUBE-FORWARD”之前*/
3 NFLOG all--0.0.0.0/0.0.0.0/0状态新NFLOG组86
4全部删除--0.0.0.0/0.0.0.0/0
5接受全部--0.0.0.0/0.0.0.0/0
6全部接受--0.0.0.0/0.0.0.0/0 ctstate相关,已建立
7 KUBE-FORWARD all--0.0.0.0/0.0.0/0/*kubernetes转发规则*/
8 KUBE-SERVICES all--0.0.0.0/0.0.0/0 ctstate NEW/*kubernetes服务门户*/
9 DOCKER-USER all--0.0.0.0/0.0.0.0/0
10 DOCKER-ISOLATION-STAGE-1 all--0.0.0.0/0.0.0.0/0
11接受全部--0.0.0.0/0.0.0.0/0 ctstate相关,已建立
12 DOCKER all--0.0.0.0/0.0.0.0/0
13全部接受--0.0.0.0/0.0.0.0/0
14接受全部--0.0.0.0/0.0.0.0/0
最后,我推荐的最后一个选择是。Istio无疑是最复杂的解决方案,但另一方面,它是最强大的。
sudo route-n apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: deny-nodeports
spec:
applyOnForward: true
preDNAT: true
ingress:
- action: Deny
destination:
ports:
- 30000:32767
protocol: TCP
source: {}
- action: Deny
destination:
ports:
- 30000:32767
protocol: UDP
source: {}
selector: has(kubernetes-host)
order: 1100
types:
- Ingress