通过防火墙策略解决k8s中ng端口漏洞
下面的配置已经在生产环境升级验证成功,成功解决了扫描的漏洞
#开启防火墙
systemctl start firewalld
#开机启动
systemctl enable firewalld
#设置拦截规则为全部拒绝
firewall-cmd --permanent --zone=public --set-target=DROP
#放行 30000 - 32767 范围端口
firewall-cmd --permanent --zone=public --add-port=30000-32767/tcp#放行集群间所有端口
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.21.171.106 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.21.171.107 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.21.171.108 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.21.171.63 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.21.171.64 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.21.171.65 accept'#放开本机访问rancher的ip策略
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.28.145.120 port protocol=tcp port=80 accept'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.28.145.120 port protocol=tcp port=443 accept'#对应堡垒机策略,rancher映射端口
#firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.28.145.120 port protocol=tcp port=8080 accept'
#firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.28.145.120 port protocol=tcp port=8443 accept'#解决集群间节点通信异常
firewall-cmd --permanent --zone=trusted --add-source=10.42.0.0/16
firewall-cmd --permanent --zone=trusted --add-source=10.43.0.0/16
#重新加载策略
firewall-cmd --reload
通过防火墙策略解决k8s中ng端口漏洞相关推荐
- 解决windows2012server中80端口被占用
解决windows2012server中80端口被占用 1. 打开shell 2. 运行netstat -nao,可以查看到端口与对应的进程号 3. 运行tasklist, 可以查看该进程号的执行进程 ...
- 解决k8s中的长连接负载均衡问题
目录 长连接与短连接: 简介 使用步骤 适用场景 当k8s遇上长连接: 问题描述 解决方案 长连接与短连接: 简介 长连接是指在一个TCP连接上可以连续发送多个数据包,在TCP连接保持期间,如果没有数 ...
- 9 个技巧,解决 K8s 中的日志输出问题
作者 | 元乙 阿里云存储服务技术专家 导读:近年来,越来越多的同学咨询如何为 Kubernetes 构建一个日志系统,或者是来求助在此过程中遇到一系列问题如何解决,授人以鱼不如授人以渔,于是作者想 ...
- 3 种发布策略,解决 K8s 中快速交付应用的难题
作者 | 郝树伟(流生)阿里云高级研发工程师 前言 软件技术更新换代很快,但我们追求的目标是一直不变的,那就是在安全稳定的前提下,增加应用的部署频率,缩短产品功能的迭代周期,这样的好处就是企业可以在更 ...
- 解决k8s中node拉取镜像失败问题
在k8s集群的使用过程中,初学者可能会碰到这样的(怪异)问题: 在一个k8s集群里,部署服务(用的私有镜像仓库,如harbor)的时候,只有个别node的服务是部署成功的,其他都是部署失败的. 错误的 ...
- 解决K8S中Pod无法正常Mount PVC的问题
微信公众号:运维开发故事,作者:乔克 今天发现一个Pod一直处于ContainerCreating状态,通过Describe查看,发现以下错误. Warning FailedMount 15s kub ...
- 记一次k8s中service端口限制在30000-32767问题排查
问题 今天利用service暴露nodePort端口80报以下错误 he Service "webapp" is invalid: spec.ports[0].nodePort: ...
- dlink中设置端口映射图文讲解(解决电驴tcp链接测试失败问题)
http://hi.baidu.com/wwt06/item/29d5d5246f3a71d50f37f9f6 dlink中设置端口映射图文讲解(解决电驴tcp链接测试失败问题) 今天找一个资源的时候 ...
- 实战:k8s中网络策略实验(成功测试-博客输出)-20211005
目录 文章目录 目录 写在前面 基础知识 实验环境 原课件内容 1.案例1:拒绝其他命名空间Pod访问 2.案例2:同一个命名空间下应用之间限制访问 3.案例3:只允许指定命名空间中的应用访问 总结 ...
最新文章
- 如何让机器获得幽默感——Goolge图学习技术揭秘
- krylov子空间迭代法
- 攻防世界Reverse第二题insanity
- springboot-数据访问
- new 一个模板、类_Java必备基础-类(Class)
- 4W1T教程1 如何使用幻灯片
- 数据库事务隔离级别-- 脏读、幻读、不可重复读(清晰解释)
- 【com编程】IE浏览器(右键扩展功能总结版)
- jQuery设置iframe的高度根据页面内容自适应
- 勤哲Excel服务器2017
- vep加密文件如何转换为mp4提取去水印录屏教程
- Bugku-网站被黑
- 电子海图浮标信息的计算和输入
- JDBC execute常用方法
- TS OLT Internet业务和组播业务(multicast)配置指导
- 跨国企业在中国 | 葛兰素史克与阿里健康签署联合商业计划;上海迪士尼举办首届“国际美食趴”...
- 广度优先算法之狄克斯特拉算法
- HDU——1013(字符串+数学)Digital Roots
- 【ubuntu】使用ubuntu杀死指定端口
- java中的for循环里面创建对象和for循环外面创建对象之间的区别