前言

我们在内网使用k8s时，对外暴露的服务通常是通过Nodport出去的，但是，Nodeport存在下面几个问题：

1. Nodeport会在集群所有节点都暴露端口，有时候我们只希望在其中一两台暴露端口
2. Nodeport暴露的端口无法通过firewall管理，无法限制端口访问来源，有时会存在安全问题。

k8s默认支持一些网络策略的设置，可以参考 k8s NetworkPolicy 介绍，但是，这些策略仅能对k8s里面的pod，对于Nodeport这种无法设置。
幸运的是，如果我们使用k8s的网络插件是calico，可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。

关于集群防火墙设置的基础操作，请参考 k8s使用calico网络插件时，集群内节点防火墙策略配置方法，默认禁用全部访问的操作请参考该文档。
在全部禁用以后，我们可以选择几个心仪的节点开放端口了，下面以开放端口32050为例：

首先选择要开放的节点，编辑之前声明好的HostEndpoint： kubectl edit HostEndpoint xxx ，编辑里面的labels，打上一个特定的标签，比如 open-node。（忘记了之前的HostEndpoint叫什么可以先查看： kubectl get HostEndpoint）

然后新建一个网络策略，优先级设置的比之前创建的拒绝全部访问的策略高（order越小小优先级越高），前面博客中创建的默认order为20，这里可以随便设置一个order小于20的，加入我们要开放32050端口，参考的配置如下：

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-my-service
spec:
# 生效顺序从小到大排序，这里设置的较小，优先生效
  order: 10
  preDNAT: true
  applyOnForward: true
  ingress:
  # 接受目标端口为32050的所有请求
    - action: Allow
      destination:
      # 配置方法可以参考  https://docs.tigera.io/calico/latest/reference/resources/networkpolicy#entityrule
        ports:
          - 32050
  selector: has(open-node)   # 选择器。选择了包含open-node标签的所有HostEndpoint

这里还可以设置只允许指定来源的ip，排除指定来源的ip，排除指定端口，选择指定端口。具体规则设置方法请参考： calico官方文档