当前位置: 首页 > news >正文

15.k8s集群防火墙配置

news 2025/8/4 20:09:07

防火墙配置

########################
# master节点防火墙设置
######################### 所有master节点开放相关防火墙端口
$ firewall-cmd --zone=public --add-port=6443/tcp --permanent
$ firewall-cmd --zone=public --add-port=2379-2380/tcp --permanent
$ firewall-cmd --zone=public --add-port=10250/tcp --permanent
$ firewall-cmd --zone=public --add-port=10251/tcp --permanent
$ firewall-cmd --zone=public --add-port=10252/tcp --permanent
$ firewall-cmd --zone=public --add-port=30000-32767/tcp --permanent# 所有master节点必须开启firewalld该设置,否则dns无法解释
$ firewall-cmd --add-masquerade --permanent
$ firewall-cmd --reload
$ firewall-cmd --list-all --zone=public########################
# worker节点防火墙设置
######################### 所有worker节点开放相关防火墙端口
$ firewall-cmd --zone=public --add-port=10250/tcp --permanent
$ firewall-cmd --zone=public --add-port=30000-32767/tcp --permanent# 所有worker节点必须开启firewalld该设置,否则dns无法解释
$ firewall-cmd --add-masquerade --permanent
$ firewall-cmd --reload
$ firewall-cmd --list-all --zone=public# 所有节点清除iptables规则,解决firewalld引起nodeport无法访问问题
$ iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited# 所有节点设置root的crontab,每十分钟设置一次
$ echo '5,15,25,35,45,55 * * * * /usr/sbin/iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited' >> /var/spool/cron/root && crontab -liptables -P OUTPUT ACCEPT && iptables -P FORWARD ACCEPT && iptables -F && iptables -L -n 
Master node inbound: TCP: 443  from Worker Nodes, API Requests, and End-UsersUDP: 8285,8472 from Master & Worker NodesWorker node inbound: TCP: 10250 from Master NodesTCP: 10255 from HeapsterTCP: 30000-32767 from External Application ConsumersTCP: 1-32767 from Master & Worker NodesTCP: 179 from Worker NodesUDP: 8472 from Master & Worker NodesUPD: 179 from Worker NodesEtcd node inbound:  TCP: 2379-2380 from Master & Worker Nodesfirewall-cmd --zone=public --add-port=8285/udp --permanentfirewall-cmd --zone=public --add-port=10255/tcp --permanentfirewall-cmd --zone=public --add-port=179/udp --permanent$ firewall-cmd --add-masquerade --permanent
$ firewall-cmd --reload
$ firewall-cmd --list-all --zone=public# centos8 要追加这个
firewall-cmd --permanent --zone=kubernetes_pods --add-source=<POD SUBNET CIDR>
http://www.lryc.cn/news/212134.html

相关文章:

  • Python beautifulsoup网络抓取和解析cnblog首页帖子数据
  • Java集成腾讯云OCR身份证识别接口
  • C++之C++11引入enum class与传统enum关键字总结(二百五十一)
  • 如何将word格式的文档转换成markdown格式的文档
  • Leetcode—2558.从数量最多的堆取走礼物【简单】
  • 【如何写论文】硕博学位论文的结构框架、过程与大纲分析
  • 砷化镓(GaAs)纳米线 砷化镓纳米线 GaAs纳米线 瑞禧
  • PostGreSQL:JSON|JSONB数据类型
  • 树----数据结构
  • GitLab定时备份
  • SQL IN 运算符
  • 虚拟机构建单体项目及前后端分离项目
  • 代码浅析DLIO(一)---整体框架梳理
  • Springboot的Container Images,docker加springboot
  • c 从avi 视频中提取图片
  • Jtti:Apache服务的反向代理及负载均衡怎么配置
  • 82.二分查找
  • 线程是如何创建的
  • owl_vit安装步骤
  • 运行real.exe时出现NUM_METGRID_SOIL_LEVELS=0
  • 【数值计算方法】Gauss消元法及其Python/C实现
  • ins老被封禁?快来看看这些雷区你踩了没!
  • 《Effective Java》读书笔记(1-2章)
  • C++版split(‘_‘)函数
  • Leaky singletons的一种使用场景
  • TensorFlow图像多标签分类实例
  • Python程序设计期末复习笔记
  • 人大与加拿大女王大学金融硕士—与您共创辉煌
  • Generalized Zero-Shot Learning With Multi-Channel Gaussian Mixture VAE
  • 10.30 知识总结(标签分类、css介绍等)