本文主要是介绍k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
前言
我们在内网使用k8s时,对外暴露的服务通常是通过Nodport出去的,但是,Nodeport存在下面几个问题:
- Nodeport会在集群所有节点都暴露端口,有时候我们只希望在其中一两台暴露端口
- Nodeport暴露的端口无法通过firewall管理,无法限制端口访问来源,有时会存在安全问题。
k8s默认支持一些网络策略的设置,可以参考 k8s NetworkPolicy 介绍,但是,这些策略仅能对k8s里面的pod,对于Nodeport这种无法设置。
幸运的是,如果我们使用k8s的网络插件是calico,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。
关于集群防火墙设置的基础操作,请参考 k8s使用calico网络插件时,集群内节点防火墙策略配置方法,默认禁用全部访问的操作请参考该文档。
在全部禁用以后,我们可以选择几个心仪的节点开放端口了,下面以开放端口32050为例:
首先选择要开放的节点,编辑之前声明好的HostEndpoint: kubectl edit HostEndpoint xxx ,编辑里面的labels,打上一个特定的标签,比如 open-node。(忘记了之前的HostEndpoint叫什么可以先查看: kubectl get HostEndpoint)
然后新建一个网络策略,优先级设置的比之前创建的拒绝全部访问的策略高(order越小小优先级越高),前面博客中创建的默认order为20,这里可以随便设置一个order小于20的,加入我们要开放32050端口,参考的配置如下:
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:name: allow-my-service
spec:
# 生效顺序从小到大排序,这里设置的较小,优先生效order: 10preDNAT: trueapplyOnForward: trueingress:# 接受目标端口为32050的所有请求- action: Allowdestination:# 配置方法可以参考 https://docs.tigera.io/calico/latest/reference/resources/networkpolicy#entityruleports:- 32050selector: has(open-node) # 选择器。选择了包含open-node标签的所有HostEndpoint这里还可以设置只允许指定来源的ip,排除指定来源的ip,排除指定端口,选择指定端口。具体规则设置方法请参考: calico官方文档
这篇关于k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
