k8s集群开放防火墙策略

在生产环境部署 k8s 的过程中，基于安全的需要，可能需要开启 firewalld。本文将介绍 firewalld 的使用方式以及 k8s 集群所需开放的端口。

qq_42895490

894人浏览 · 2024-06-23 17:59:13

qq_42895490 · 2024-06-23 17:59:13 发布

在生产环境部署 k8s 的过程中，基于安全的需要，可能需要开启 firewalld。本文将介绍 firewalld 的使用方式以及 k8s 集群所需开放的端口。

firewalld 的使用

firewalld 是一个防火墙的管理工具，是 iptables 的管理规矩。

firewalld 添加规则的方式主要有两种：直接添加端口和 rich rule。

直接添加端口

执行以下命令可以直接添加端口：

firewall-cmd  --add-port=80/tcp --permanent ##在 public 区域开放一个端口
firewall-cmd  --add-port=80-8080/tcp --permanent ##在 public 区域开放 80-8080 端口

添加 rich rule

执行以下命令即为添加一条 rich rule 规则：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" port port=22 protocol=tcp accept' ##允许 192.168.1.100/24 访问 22  端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" accept' ##此服务器允许所有地址访问
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" destination address="192.168.1.100" port=80 reject' ##拒绝所有地址访问 80，限制服务器访问 192.168.1.100 的 80 端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" destination address="0.0.0.0/0"  accept' ##允许服务器访问所有地址

以上是两种防火墙规则的添加方法，这两种防火墙策略添加方式的主要区别是：是否需要精确的进行网络控制。例如：

firewall-cmd  --add-port=80/tcp --permanent 
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" port port=80 protocol=tcp accept'

这两天的本质区别是：第二条 rich rule 限制了 80 端口只能让 192.168.1.100/24 这个网段进行访问。如果直接使用直接使用第一条规则等价于 rich rule 规则为：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0"  destination address="0.0.0.0/0" port port=80 protocol=tcp accept'

k8s 需要开放的端口

再聊完如何添加端口后，接下来介绍 k8s 需要开放哪些端口。

以下列表是整理出来一个刚刚搭建完成的 k8s 集群需要开放的端口：

主机类型	端口类别	端口号
master	kube-apiserver	6443
	etcd	2379-2380
	kubelet	10250
	haproxy	16443
worker	kubelet	10250

执行以下命令进行端口开放：

## master
firewall-cmd --permanent --add-port=2379-2380/tcp
firewall-cmd --permanent --add-port=10250/tcp
firewall-cmd --permanent --add-port=16443/tcp
firewall-cmd --permanent --add-port=6443/tcp
firewall-cmd --add-masquerade --permanent ##允许进行地址进行转换
firewall-cmd --reload

## worker
firewall-cmd --add-masquerade --permanent ##允许进行地址进行转换
firewall-cmd --permanent --add-port=10250/tcp
firewall-cmd --reload

后记

k8s 高可用集群的搭建

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub