k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法

本文主要是介绍k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

我们在内网使用k8s时,对外暴露的服务通常是通过Nodport出去的,但是,Nodeport存在下面几个问题:

  1. Nodeport会在集群所有节点都暴露端口,有时候我们只希望在其中一两台暴露端口
  2. Nodeport暴露的端口无法通过firewall管理,无法限制端口访问来源,有时会存在安全问题。

k8s默认支持一些网络策略的设置,可以参考 k8s NetworkPolicy 介绍,但是,这些策略仅能对k8s里面的pod,对于Nodeport这种无法设置。
幸运的是,如果我们使用k8s的网络插件是calico,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。

关于集群防火墙设置的基础操作,请参考 k8s使用calico网络插件时,集群内节点防火墙策略配置方法,默认禁用全部访问的操作请参考该文档。
在全部禁用以后,我们可以选择几个心仪的节点开放端口了,下面以开放端口32050为例:

首先选择要开放的节点,编辑之前声明好的HostEndpointkubectl edit HostEndpoint xxx ,编辑里面的labels,打上一个特定的标签,比如 open-node。(忘记了之前的HostEndpoint叫什么可以先查看: kubectl get HostEndpoint

然后新建一个网络策略,优先级设置的比之前创建的拒绝全部访问的策略高(order越小小优先级越高),前面博客中创建的默认order为20,这里可以随便设置一个order小于20的,加入我们要开放32050端口,参考的配置如下:

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:name: allow-my-service
spec:
# 生效顺序从小到大排序,这里设置的较小,优先生效order: 10preDNAT: trueapplyOnForward: trueingress:# 接受目标端口为32050的所有请求- action: Allowdestination:# 配置方法可以参考  https://docs.tigera.io/calico/latest/reference/resources/networkpolicy#entityruleports:- 32050selector: has(open-node)   # 选择器。选择了包含open-node标签的所有HostEndpoint

这里还可以设置只允许指定来源的ip,排除指定来源的ip,排除指定端口,选择指定端口。具体规则设置方法请参考: calico官方文档

这篇关于k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/967078

相关文章

如何使用 Python 读取 Excel 数据

《如何使用Python读取Excel数据》:本文主要介绍使用Python读取Excel数据的详细教程,通过pandas和openpyxl,你可以轻松读取Excel文件,并进行各种数据处理操... 目录使用 python 读取 Excel 数据的详细教程1. 安装必要的依赖2. 读取 Excel 文件3. 读

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

解决Maven项目idea找不到本地仓库jar包问题以及使用mvn install:install-file

《解决Maven项目idea找不到本地仓库jar包问题以及使用mvninstall:install-file》:本文主要介绍解决Maven项目idea找不到本地仓库jar包问题以及使用mvnin... 目录Maven项目idea找不到本地仓库jar包以及使用mvn install:install-file基

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

MySQL重复数据处理的七种高效方法

《MySQL重复数据处理的七种高效方法》你是不是也曾遇到过这样的烦恼:明明系统测试时一切正常,上线后却频频出现重复数据,大批量导数据时,总有那么几条不听话的记录导致整个事务莫名回滚,今天,我就跟大家分... 目录1. 重复数据插入问题分析1.1 问题本质1.2 常见场景图2. 基础解决方案:使用异常捕获3.

如何为Yarn配置国内源的详细教程

《如何为Yarn配置国内源的详细教程》在使用Yarn进行项目开发时,由于网络原因,直接使用官方源可能会导致下载速度慢或连接失败,配置国内源可以显著提高包的下载速度和稳定性,本文将详细介绍如何为Yarn... 目录一、查询当前使用的镜像源二、设置国内源1. 设置为淘宝镜像源2. 设置为其他国内源三、还原为官方

最详细安装 PostgreSQL方法及常见问题解决

《最详细安装PostgreSQL方法及常见问题解决》:本文主要介绍最详细安装PostgreSQL方法及常见问题解决,介绍了在Windows系统上安装PostgreSQL及Linux系统上安装Po... 目录一、在 Windows 系统上安装 PostgreSQL1. 下载 PostgreSQL 安装包2.

Python使用getopt处理命令行参数示例解析(最佳实践)

《Python使用getopt处理命令行参数示例解析(最佳实践)》getopt模块是Python标准库中一个简单但强大的命令行参数处理工具,它特别适合那些需要快速实现基本命令行参数解析的场景,或者需要... 目录为什么需要处理命令行参数?getopt模块基础实际应用示例与其他参数处理方式的比较常见问http

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

C 语言中enum枚举的定义和使用小结

《C语言中enum枚举的定义和使用小结》在C语言里,enum(枚举)是一种用户自定义的数据类型,它能够让你创建一组具名的整数常量,下面我会从定义、使用、特性等方面详细介绍enum,感兴趣的朋友一起看... 目录1、引言2、基本定义3、定义枚举变量4、自定义枚举常量的值5、枚举与switch语句结合使用6、枚