1

当节点位于使用高级网络的子网中时,需要在节点和 azure kubernetes 服务的主服务器之间打开 TCP/UDP 通信的哪个端口?

出于安全原因,我们必须在通过 Azure 中的 VPN 连接到本地网络的每个子网上使用网络安全组。即使在同一子网中,该 NSG 也必须拒绝机器之间的所有隐式流量,以阻止攻击在系统之间遍历。因此,具有高级网络的 azure kubernetes 服务也是如此,它使用通过 vnet 对等连接的子网。

如果在 aks 高级网络的子网上拥有 NSG 以及使其工作需要哪些端口是受支持的方案,我们找不到答案。

我们尝试了默认的 NSG,它拒绝主机之间的内部流量,但这阻碍了我们连接到服务和节点以无错误地启动。

4

1 回答 1

0

AKS 是托管群集。而托管集群master意味着你不需要像高可用etcd商店那样配置组件,但这也意味着你不能直接访问集群master。

创建 AKS 群集时,会自动创建和配置群集主机。Azure 平台配置集群主节点和节点之间的安全通信。与集群主节点的交互通过 Kubernetes API 进行,例如 kubectl 或 Kubernetes 仪表板。

有关更多详细信息,请参阅Azure Kubernetes 服务 (AKS) 的 Kubernetes 核心概念。如果您需要自己配置集群 master 和其他东西,您可以使用aks-engine部署自己的 Kubernetes 集群。

为了您的 Pod 的安全,您可以使用网络策略来改进它。虽然只是预览版。

此外,如果要连接到 AKS 节点,不建议公开与 AKS 群集节点的远程连接。建议是在管理虚拟网络中创建堡垒主机或跳转框。使用堡垒主机将流量安全地路由到 AKS 群集以执行远程管理任务。有关更多详细信息,请参阅通过堡垒主机安全连接到节点

如果您有更多问题,请告诉我。我很高兴能提供更多帮助。

于 2019-04-08T07:45:31.950 回答