当节点位于使用高级网络的子网中时,节点与azure kubernetes服务的主节点之间需要打开哪个TCP / UDP通信端口?
出于安全原因,我们必须在通过天蓝色的VPN连接到本地网络的每个子网上使用网络安全组。即使在同一子网中,此NSG也必须拒绝计算机之间的所有隐式流量,以阻止攻击在系统之间穿越。 因此,对于具有高级联网功能的azure kubernetes服务,它使用通过vnet对等连接的子网。
如果在aks高级网络的子网中具有NSG,以及需要使其工作的端口,这是受支持的方案,我们找不到答案。
我们尝试使用默认的NSG,该NSG拒绝主机之间的相互通信,但这阻碍了我们连接到服务以及从节点进行连接而不会出现错误。
答案 0 :(得分:0)
AKS是一个托管群集。而且,托管集群主服务器意味着您不需要配置诸如高度可用的 etcd 存储之类的组件,但这也意味着您无法直接访问集群主服务器。
创建AKS集群时,将自动创建和配置集群主服务器。而且,Azure平台配置群集主服务器和节点之间的安全通信。通过Kubernetes API(例如kubectl或Kubernetes仪表板)与集群主机进行交互。
有关更多详细信息,请参见Kubernetes core concepts for Azure Kubernetes Service (AKS)。如果您需要自己配置集群主服务器和其他所有东西,则可以使用aks-engine来部署自己的Kubernetes集群。
为了保护您的广告连播,您可以使用network policy进行改进。尽管它只是预览版。
此外,如果要连接到AKS节点,也不建议将远程连接公开到AKS群集节点。建议在管理虚拟网络中创建堡垒主机或跳转框。使用堡垒主机将流量安全地路由到您的AKS群集中,以执行远程管理任务。有关更多详细信息,请参见Securely connect to nodes through a bastion host。
如果您还有其他问题,请告诉我。我很高兴提供更多帮助。