kubernetes和gPaaS部署开启iptables或防火墙后需要开放的端口
通常情况下,kubernetes和gPaaS部署会关闭selinux以及清空iptables规则,允许苍穹应用、gPaaS、中间件以及kubernetes组件之间的端口通信。
但是在部署环境需要严格安全管控的情况下,需要按需要开放通信或访问端口。
根据部署实践情况,主要有两种安全管控场景。
1 部署环境允许内部主机端口之间通信,但与访问环境隔离。
安装部署环境中,主机之间不做通信限制,可以相互通信访问,使用苍穹安装器等安装工具,正常安装即可。但是当我们在办公环境访问苍穹应用页面或gPaaS管理页面,是访问不通的,需要开放相应的web访问端口。
这种场景,我们根据提前部署的规划,可以清楚地知道需要开放访问的端口,比如苍穹访问端口地址、mc访问端口地址、gPaaS访问端口地址等,并提前进行申请。
2 部署环境内部主机端口通信默认禁止,按需开放。
这是比较严格的管控模式,需要细细的梳理通信端口,该场景下的端口梳理是本文重点说明的地方。
关于端口的开放,都可以到相应的主机上,通过netstat -anpt命令查看到,如下图,这需要我们识别出来,并开放端口。
2.1 kubernetes 组件开放的端口
| 端口 | 组件 | 端口说明 | 参数 | 协议 | 必须开启 |
|---|---|---|---|---|---|
| 6443 | kube-apiserver | 安全端口 | --secure-port | TCP | 是 |
| 10248 | kubelet | 健康检测端口 | --healthz-port | TCP | 否,0表示关闭 |
| 10249 | kube-proxy | 指标端口 | --metrics-port | TCP | 否,0表示关闭 |
| 10250 | kubelet | 安全端口 | --port | TCP | 是 |
| 10251 | kube-scheduler | 非安全端口 | --port | TCP | 否,0表示关闭 |
| 10252 | kube-controller-manager | 非安全端口 | --port | TCP | 否,0表示关闭 |
| 10255 | kubelet | 非安全端口 | --read-only-port | TCP | 否,0表示关闭 |
| 10256 | kube-proxy | 健康检测端口 | --healthz-port | TCP | 否,0表示关闭 |
| 10257 | kube-c |
kubernetes和gPaaS部署开启iptables或防火墙后需要开放的端口
通常情况下,kubernetes和gPaaS部署会关闭selinux以及清空iptables规则,允许苍穹应用、gPaaS、中间件以及kubernetes组件之间的端口通信。...
点击下载文档文档为doc格式
声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
上一篇
已经是第一篇
