开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

拒绝传入流量的GKE NodePort服务

GKE（Google Kubernetes Engine）是谷歌云平台提供的托管式Kubernetes服务。NodePort是Kubernetes中一种服务类型，它允许通过节点的IP地址和静态端口号将服务公开到集群外部。然而，有时候我们可能需要限制对NodePort服务的访问，即拒绝传入流量。

拒绝传入流量的GKE NodePort服务可以通过以下步骤实现：

创建一个网络策略（Network Policy）：网络策略是Kubernetes中的一种资源对象，用于定义网络流量的规则。通过创建网络策略，我们可以限制对NodePort服务的访问。
定义网络策略规则：在网络策略中，我们可以定义一系列规则来控制流量。对于拒绝传入流量的NodePort服务，我们可以创建一个规则，将源IP地址设置为0.0.0.0/0（表示任意IP地址），将目标端口设置为NodePort服务的端口号，并将动作设置为拒绝。
应用网络策略：将定义好的网络策略应用到GKE集群中，使其生效。

通过上述步骤，我们可以实现拒绝传入流量的GKE NodePort服务。这样，只有在集群内部的Pod才能够访问该服务，而外部的流量将被拒绝。

腾讯云提供了类似的产品和功能，可以实现类似的需求。您可以参考腾讯云的容器服务TKE（Tencent Kubernetes Engine）和网络策略（Network Policy）来实现拒绝传入流量的NodePort服务。具体产品介绍和文档可以在腾讯云官网上找到。

参考链接：

GKE官方文档：https://cloud.google.com/kubernetes-engine/docs/concepts/service#nodeport_services
TKE产品介绍：https://cloud.tencent.com/product/tke
TKE网络策略文档：https://cloud.tencent.com/document/product/457/9077

相关搜索:拒绝使用docker和ansible iptables的传入流量 istio-ingressgateway的NodePort服务返回连接被拒绝为什么EKS服务NodePort不能切换流量？流量型拒绝服务攻击捕获tcpdump中的传入流量从节点传出的GKE群集出口流量，而不是LB服务带有docker的iptables阻止传入流量，允许传出流量拦截/捕获到Kubernetes中pods/服务的传入流量在多个服务器之间拆分传入流量？尝试使用win10中的minikube访问kubernetes nodeport服务时，连接被拒绝无法访问Minikube上的NodePort服务 kubectl端口转发与NodePort服务的区别 iptables:阻止仅针对apache域的传入流量无法通过图形了解传入/传出流量之间的链接 kube-proxy如何配置nodePort类型的服务？如何跟踪来自某条链路的传入流量？GKE上带入口的服务路由避免在服务中保留不必要的NodePort 拒绝Kubernetes pod上到互联网的出口流量如何在Kubernetes中以编程方式获取服务的NodePort？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

对比Kubernetes的Nodeport、Loadbalancer和Ingress，什么时候该用哪种

最近，有人问我 NodePort，LoadBalancer 和 Ingress 之间的区别是什么。它们是将外部流量引入群集的不同方式，并且实现方式不一样。我们来看看它们是如何工作的，以及什么时候该用哪种。

03

转载NodePort，LoadBalancer还是Ingress？我该如何选择 - kubernetes

原文：http://mp.weixin.qq.com/s/dHaiX3H421jBhnzgCCsktg 当我们使用k8s集群部署好应用的Service时，默认的Service类型是ClusterIP，这种类型只有 Cluster 内的节点和 Pod 可以访问。如何将应用的Service暴露给Cluster外部访问呢，Kubernetes 提供了多种类型的 Service，如下： ClusterIP ---- ClusterIP服务是Kuberntets的默认服务。它在集群内部生成一个服务，供集群内的其他应用

04

外部访问 kubernetes，知道这 3 种模式就够了

最近，很多人问我 NodePorts，LoadBalancer和 Ingress 之间的区别是什么？它们是将外部流量引入集群的不同方式，而且它们的运行形式各不相同。接下来，请你跟我一起，来看看他们是如何工作的，以及它们各自的适用情况。

01

Kubernetes的六种端口

曾经对Kubernetes中的服务器、docker、服务、容器、目标或节点端口感到困惑过吗？本文为您逐一解析，从开发到部署，解释您工作流程中的每个端口。今天就深入探讨，简化复杂性!

01

Kubernetes安全加固的几点建议

随着更多的组织开始拥抱云原生技术，Kubernetes已成为容器编排领域的行业标准。向 Kubernetes转变的这股潮流，很大程度上简化了容器化应用程序的部署、扩展和管理，并实现了自动化，为传统的单体式系统提供了胜于传统管理协议的众多优势。

03

什么是防火墙以及它如何工作？

防火墙是一种通过基于一组用户定义的规则过滤传入和传出网络流量来提供网络安全性的系统。通常，防火墙的目的是减少或消除不需要的网络通信的发生，同时允许所有合法通信自由流动。在大多数服务器基础架构中，防火墙提供了一个重要的安全层，与其他措施相结合，可以防止攻击者以恶意方式访问您的服务器。

00

基础指南：如何在K3s中配置Traefik?

云由临时的服务器组和向服务器分配容器的方法组成。容器是一种将应用程序打包到标准化单元中的方法，以便该应用程序可以在云中的任何服务器上平稳运行。经常出现的问题是需要将外部客户端的流量定向到云内的容器中，同时确保外部客户端不与云绑定。针对该问题，一个常见的解决方案是创建一个Ingress controller。

03

TKE基于弹性网卡直连Pod的网络负载均衡

作者周宏宇，后台开发，目前负责腾讯云TKE的接入层网络组件（Ingress、Service）。在团队中负责接入层组件的技术方案、开发测试以及相关的服务技术支持。前言 Kubernetes在集群接入层设计并提供了两种原生资源Service和Ingress，分别负责四层和七层的网络接入层配置。传统的做法是创建Ingress或LoadBalancer类型的Service来绑定腾讯云的负载均衡将服务对外暴露。这种做法将用户流量负载到用户节点的NodePort上，通过KubeProxy组件转发到容器网络中，但这种

04

UFW命令

05

Kubernetes网络揭秘：一个HTTP请求的旅程

客座撰稿人：Karen Bruner，StackRox技术专员。原文可以在这里找到。

03

Kubernetes集群网络揭秘，以GKE集群为例

毛艳清，富士康工业互联网科技服务事业群运维中心主管，现负责公有云和私有云的运维工作，聚焦在云计算和云原生领域，主要关注企业迁云的策略与业务价值、云计算解决方案、云计算实施与运维管理，以及云原生技术的布道和落地实践。

04

GKE使用eBPF提高容器安全性和可视性

Kubernetes 真正的超级功能之一是其开发者优先的网络模式，它提供了易于使用的功能，如 L3/L4 服务和 L7 入口，将流量引入集群，以及用于隔离多租户工作负载的网络策略。随着越来越多的企业采用 Kubernetes，围绕多云、安全、可视性和可扩展性的新要求，用例的范围也在扩大。此外，服务网格和 serverless 等新技术对 Kubernetes 底层的定制化提出了更多要求。这些新需求都有一些共同点：它们需要一个更加可编程的数据平面，能够在不牺牲性能的情况下执行 Kubernetes 感知的数据包操作。

02

虚拟云网络专辑｜NodePortLocal —— VMware 扩展云原生应用的新方法

为了将运行在 Kubernetes 集群内部 Pod 上的应用程序投入使用，需要启用 K8S 集群上的服务（Service）：NodePort 或 ClusterIP，然后再经过外部 LoadBalancer 或 Ingress 功能，将服务发布为可被集群外部客户端访问的 IP 地址或者 FQDN（如：web.example.com ）。

02

计算机网络中的防火墙基础

防火墙是一种基于硬件或软件的网络安全设备，它监视所有传入和传出流量，并根据一组定义的安全规则接受、拒绝或丢弃特定流量。

02

Cilium系列-13-启用XDP加速及Cilium性能调优总结

将 Kubernetes 的 CNI 从其他组件切换为 Cilium, 已经可以有效地提升网络的性能. 但是通过对 Cilium 不同模式的切换/功能的启用, 可以进一步提升 Cilium 的网络性能. 具体调优项包括不限于:

02

Rancher 2.x 负载均衡配置及使用

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/aixiaoyang168/article/details/88664263

03

Kubernetes 网络模型基础指南

Kubernetes 是为运行分布式集群而建立的，分布式系统的本质使得网络成为 Kubernetes 的核心和必要组成部分，了解 Kubernetes 网络模型可以使你能够正确运行、监控和排查应用程序故障。

03

防御DDoS原理搞明白，防御效果才能事半功倍

近年来，DDoS攻击越来越多，极大地推动了对最佳防御DDoS解决方案的需求。DDoS攻击通过大量合法的请求占用大量网络资源从而破坏常规网络流量，使得网络瘫痪。较低的攻击成本和极高的收益使得DDoS攻击在短时间内带来了极大的威胁。借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的为例。

00

干货巨献：Openshift3.9的网络管理大全.加长篇---Openshift3.9学习系列第二篇

OpenShift的OVS网络组件有三种模式：ovs-subnet、ovs-multitenant、ovs-networkpolicy。

05

你能给大家解释一下k8s里面五花八门的各种port吗？

nodePort 提供了集群外部客户端访问 service 的一种方式，它提供了集群外部客户端访问 service 的端口，即 k8s 集群 nodeIP:nodePort 。

04

Centos7的Firewalld防火墙基础命令详解

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实时过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux系统的防火墙体系基于内核共存：firewalld、iptables、ebtables，默认使用firewalld来管理netfilter子系统。

05

kubernetes Service:让客户端发现pod并与之通信

Service 是由 kube-proxy 组件，加上 iptables 来共同实现的。

05

Kubernetes 网络模型综合指南

这篇详细的博文探讨了 Kubernetes 网络的复杂性，提供了关于如何在容器化环境中确保高效和安全通信的见解。

01

nginx ingress 如何使用 7 层负载均衡

当前 nginx ingress 在云 CLB 接入的时候，使用了 4 层的 CLB 侦听，这样本身是合理的。但有些云产品功能却无法在四层下工作，如：证书绑定，WAF 等。

03

「容器平台」Kubernetes网络策略101

什么是Kubernetes网络策略? 有几家公司正在将他们的整个基础设施转移到Kubernetes。Kubernetes的目标是抽象通常在现代IT数据中心中找到的所有组件。因此，pods表示计算实例，

02

kubernetes Service:让客户端发现pod并与之通信

Service 是由 kube-proxy 组件，加上 iptables 来共同实现的。

03

10.服务负载-使用和管理Service

Kubernetes Service 是一个抽象层，用于定义一组 Pod 的访问方式。它为应用程序提供了一个稳定的网络终结点，使得其他服务或外部用户能够访问这组 Pod，而无需关心 Pod 的具体 IP 地址或具体的运行位置。

01

CKAD考试实操指南（七）---网络纵横谋略：服务和网络实战要诀

在这份CKAD考试实操指南中，我将为你详细介绍如何利用CKAD-exercises项目和知十平台进行CKAD考试的准备和复习。通过CKAD-exercises提供的练习题，你可以在知十平台的云原生环境中进行实践和模拟。在这个过程中，你将熟悉Kubernetes的各种操作和场景，并在实践中加深对知识的理解。这种结合实践和理论的学习方式将为你在考试中取得优异成绩提供强有力的支持。

03

Service Mesh在接入层流量管理的应用

[1] https://k8s.io/docs/concepts/services-networking/ingress

04

K8s网络模型

k8s网络模型设计基础原则:每个Pod都拥有一个独立的 IP地址，而且假定所有 Pod 都在一个可以直接连通的、扁平的网络空间中。所以不管它们是否运行在同一个 Node (宿主机)中，都要求它们可以直接通过对方的 IP 进行访问。设计这个原则的原因是，用户不需要额外考虑如何建立 Pod 之间的连接，也不需要考虑将容器端口映射到主机端口等问题。

02

Istio从A到Y

Istio 是一款开源服务网格，允许您连接、保护、控制和观察应用程序的服务。我们将了解如何安装 Istio，以及如何使用它来保护和监控我们的服务。

01

[译]数据包在 Kubernetes 中的一生（3）

https://dramasamy.medium.com/life-of-a-packet-in-kubernetes-part-3-dd881476da0f

02

Kubernetes资源之服务发现service详解

Kubernetes中一个应用服务会有一个或多个实例（Pod）,每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象，如下所示:

02

在 Kubernetes 中如何给 NodePort 配置 NetworkPolicy

如上图，业务方需要隔离 namespae 的服务，禁止 bar 空间的负载访问，而允许用户从 Load Balancer (LB) 通过 NodePort 访问服务。可以很容易地写出一个网络策略:

02

TMOS系统之Packet Filters

Packet Filters也称为包过滤器，它在BIG-IP中的作用为数据包过滤器通过指定 BIG-IP ®系统接口是否应根据指定的标准接受或拒绝某些数据包来增强网络安全性。数据包过滤器对传入流量实施访问策略。它们仅适用于传入流量。

07

kubernetes Service:让客户端发现pod并与之通信

service是k8s中的一个重要概念，主要是提供负载均衡和服务自动发现。 Service 是由 kube-proxy 组件，加上 iptables 来共同实现的。

03

访问虚拟机局域网服务拒绝连接

在虚拟机中启动了一个HTTP 服务，但是局域网内其他设备不能访问，从下面两步骤来排查问题并结局

02

Kubernetes内的网络通信问题

kubernetes不提供pod之间通信的功能，需要装额外的软件来配合。我选的是出自CoreOS的flannel软件：

01

如何在Ubuntu 14.04上使用Iptables实现基本防火墙模板

实施防火墙是保护服务器的重要一步。其中很大一部分是在于对您的网络实施流量限制有决定性作用的个别规则和政策。防火墙iptables也允许您对应用规则的结构框架有发言权。

00

谷歌云的数据安全工具

近日，网络巨头谷歌公司发布了一系列数据加密以及网络安全智能工具。这些新工具中的第一个名为外部密钥管理器，即将在beta中启动，它能与谷歌的云KMS（一种密钥管理服务，允许客户管理托管在谷歌云上的服务的密钥）协同工作。

02

【Kubernetes系列】第11篇网络原理解析（下篇）

覆盖网络(overlay network)是将TCP数据包装在另一种网络包里面进行路由转发和通信的技术。Overlay网络不是默认必须的，但是它们在特定场景下非常有用。比如当我们没有足够的IP空间，或者网络无法处理额外路由，抑或当我们需要Overlay提供的某些额外管理特性。一个常见的场景是当云提供商的路由表能处理的路由数是有限制时，例如AWS路由表最多支持50条路由才不至于影响网络性能。因此如果我们有超过50个Kubernetes节点，AWS路由表将不够。这种情况下，使用Overlay网络将帮到我们。

03

《做一个不背锅运维：一篇搞定K8s Ingress》

Ingress是一种Kubernetes资源，用于将外部流量路由到Kubernetes集群内的服务。与NodePort相比，它提供了更高级别的路由功能和负载平衡，可以根据HTTP请求的路径、主机名、HTTP方法等来路由流量。

05

防护DDoS迫在眉睫，这里有你不知道有效做法

DDoS攻击非常受黑客欢迎，因为它们非常有效，易于启动，并且几乎不会留下痕迹。那么如何防护DDoS攻击呢？在本文中，我们将讨论如何检测DDoS攻击，并将介绍一些特定的DDoS保护和预防技术。

02

2020-2028年，企业对DDoS防护软件的市场需求不断增长

近年来，这类攻击越来越多，从而推动了对最佳DDoS防护软件解决方案的需求。鉴于DDoS攻击影响，许多计划外的数据中心被迫中断，而DDoS威胁的驱动力主要是易用的工具以及勒索带来的潜在利润。

04

使用Lens部署nginx 服务

Lens 是一款开源的 Kuernetes 的IDE，可使用它管理多集群的资源，包括namespace，deployment，services，pod。官方提供各个平台的安装包下载。

01

什么是代理服务器？它有哪些分类？

您是否遇到过某些网站被阻止的情况？或者连接到不同的 Wi-Fi 网络时无法访问某些服务的情况？这很可能是由于代理服务器的存在，本文笔者就带大家了解一下什么是代理服务器，以及代理服务器是如何工作的？

02

改善十年应用的部署体验

在 2018 年，Etsy 将它的服务基础设施从自我管理的数据中心迁移到云端配置（我们当时在博客上写了这件事）。这种改变提供了改善整个公司技术流程的机会。对于 Search 团队而言，云环境所带来的灵活扩展让我们可以完全重新评估一个有些繁琐的部署流程。在已有的金丝雀发布架构模式的启发下，我们编写了一个新的自定义工具来补充现有的部署基础设施。

03

kube-proxy iptables 模式源码分析

在前面的文章中已经介绍过 iptable 的一些基本信息，本文会深入介绍 kube-proxy iptables 模式下的工作原理，本文中多处会与 iptables 的知识相关联，若没有 iptables 基础，请先自行补充。

02

kube-proxy iptables 模式源码分析

在前面的文章中已经介绍过 iptable 的一些基本信息，本文会深入介绍 kube-proxy iptables 模式下的工作原理，本文中多处会与 iptables 的知识相关联，若没有 iptables 基础，请先自行补充。

00

Ingress 的继任者 —— Gateway API？

在 Kubernetes 集群边缘对外提供网络服务的时候，通常需要借助 Ingress 对象，这个对象提供了暴露 Service 所必须的核心要素，例如基于主机名的路由、对 URL 路径的适配以及 TLS 配置等。但是在实际开放服务的时候，往往会有更多的具体需求，这时 Ingress 对象所提供的核心功能就有些力不从心了，各种 Ingress 控制器往往会使用 metadata.annotations 中的特定注解，来完成对 Ingress 特定行为的控制，完成各自的个性化功能，例如认证、路径变更、黑白名单等，这就让 Ingress 对象变成了一个奇怪的东西：结构化的核心结构，和非结构化的标注结合起来形成各种 Ingress 方言，并且后期还出现了 Traefik Middleware 这样的 CRD 配置，这给 Ingress 功能的集中管理造成了一个较大的困扰；另外 Ingress 中可以随意定制主机名、路径以及后端服务，也给共享集群的用户造成了一定的安全隐患。包括 Cotour、Traefik 在内的 Ingress 控制器后期都提供了各自的基于 CRD 的功能表达，客观上也让 Ingress 世界更为分裂。例如要移除路径前缀，Nginx Ingress 控制器需要使用 nginx.ingress.kubernetes.io/rewrite-target 注解，而 Traefik 1.7 中则需要使用 traefik.ingress.kubernetes.io/rule-type: PathPrefixStrip 注解。

06

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭