拒绝传入流量的GKE NodePort服务
GKE(Google Kubernetes Engine)是谷歌云平台提供的托管式Kubernetes服务。NodePort是Kubernetes中一种服务类型,它允许通过节点的IP地址和静态端口号将服务公开到集群外部。然而,有时候我们可能需要限制对NodePort服务的访问,即拒绝传入流量。
拒绝传入流量的GKE NodePort服务可以通过以下步骤实现:
- 创建一个网络策略(Network Policy):网络策略是Kubernetes中的一种资源对象,用于定义网络流量的规则。通过创建网络策略,我们可以限制对NodePort服务的访问。
- 定义网络策略规则:在网络策略中,我们可以定义一系列规则来控制流量。对于拒绝传入流量的NodePort服务,我们可以创建一个规则,将源IP地址设置为0.0.0.0/0(表示任意IP地址),将目标端口设置为NodePort服务的端口号,并将动作设置为拒绝。
- 应用网络策略:将定义好的网络策略应用到GKE集群中,使其生效。
通过上述步骤,我们可以实现拒绝传入流量的GKE NodePort服务。这样,只有在集群内部的Pod才能够访问该服务,而外部的流量将被拒绝。
腾讯云提供了类似的产品和功能,可以实现类似的需求。您可以参考腾讯云的容器服务TKE(Tencent Kubernetes Engine)和网络策略(Network Policy)来实现拒绝传入流量的NodePort服务。具体产品介绍和文档可以在腾讯云官网上找到。
参考链接:
- GKE官方文档:https://cloud.google.com/kubernetes-engine/docs/concepts/service#nodeport_services
- TKE产品介绍:https://cloud.tencent.com/product/tke
- TKE网络策略文档:https://cloud.tencent.com/document/product/457/9077
相关·内容
我已经在Google cloud中创建了一个Node端口服务,规范如下……我创建了一个防火墙规则,允许来自端口'30100‘的来自0.0.0.0/0的流量,我已经验证了堆栈驱动程序日志和流量是允许的,nginxv1spec: - port: 80 targetPort: 8080 selector:
浏览 22提问于2020-07-19得票数 1
我们在GKE (google kubernetes engine)上运行API服务器。我们使用Google Cloud Endpoint和API密钥来处理授权。我们将每个API密钥上的某些IP地址列入白名单。为了做到这一点,我们必须从一个负载均衡器转换为一个入口控制器,用于暴露我们的API服务器。负载均衡器服务不支持IP白名单。现在我们有一个类似如下的入口设置:kind: Service name: echo-ap
浏览 25提问于2020-02-25得票数 7
1回答
不阻塞microk8s集群的通信
、、、、
我成功地在k8s集群中部署了NodePort类型的服务。现在,当我启用ufw并尝试使用命令ufw deny 31001拒绝外露端口31001的传入通信时,ufw仍然允许端口31001的通信量。我应该做什么在ufw允许和拒绝流量到端口31001?
请帮帮忙。
浏览 0提问于2020-07-06得票数 1
Services I在 GKE 集群中具有以下:currency-conversion NodePort 10.105.13.208 <none> 8100:ClusterIP 10.105.0.1 <none> 443/TCP 3d12h &
浏览 0提问于2020-07-02得票数 2
回答已采纳
1回答
我正在尝试运行一个集群中的gitlab注册中心的Docker映像,并通过ingress控制器实现流量。我无法做到这一点。这是正确的解释。我还有一个由Gitlab安装的Nginx入口控制器,同时集成了kubernetes集群和gitlab。
我想连接和测试这些来自互联网的对接图像,使用的是“大会”和“GKE”。我被困在这里根本不知道。我有与gitlab CI集成的kubernetes集群,这种集成已经在我的GK
浏览 0提问于2018-10-15得票数 1
回答已采纳
我们的GCP负载均衡器偶尔会为一些带有"failed_to_connect_to_backend“的请求返回502。它是定期发生的。在搜索和搜索堆栈溢出时,我找到了以下链接:。我还阅读了几篇关于GCP负载均衡器上保持存活超时的文章。 server := &http.Server{
Addr:
浏览 0提问于2020-08-06得票数 0
回答已采纳
我希望能够部署几个单荚应用程序,并在一个IP地址上访问它们,依靠Kubernetes分配端口,就像使用NodePort服务时一样。这是一项服务,如果我们需要什么作为基础的话。在这种情况下,我想部署10个服务,它们是不同的应用程
浏览 1提问于2020-04-14得票数 0
回答已采纳
1回答
我是GKE和K8S的新手,所以请坦率地接受我和我的愚蠢。我目前有一个GKE集群,它在默认节点池中有两个节点,该集群是通过LoadBalancer类型的服务公开的。这些节点的任务是通过HTTP调用Compute Engine实例。我在GCP中设置了一个防火墙规则,以拒绝进入GCE实例的流量(来自GKE集群的流量除外)。问题是,流量
浏览 20提问于2020-10-05得票数 1
回答已采纳
我在GCP中有一个GKE标准部署。我让TLS终止于IAAS托管负载均衡器,由他们的Ingress控制器提供。这些证书是GoogleManagedCertificates。我对通过负载均衡器的流量和集群内的流量没有意见。
但是从负载均衡器到GKE NodePort的流量呢?虽然这种流量在Google网络中,但从技术上讲,这是公共交通。在试图为负载均衡器后面的服务添加(有效)证书时,它
浏览 0提问于2023-01-14得票数 1
回答已采纳
我已经在GKE中创建了一个使用内部负载均衡器公开的服务。ILB的运行状况检查端口为10256,即kube-proxy。ILB上的端口是我的kubernetes服务端口。(不是目标端口)。但是,在ILB上没有这样的信息,该信息表明流量正在到达公开服务的NodePort。这在内部是如何工作的?
浏览 5提问于2019-05-29得票数 1
我正在kubernetes集群中设置我的默认命名空间,以允许来自外部节点/主机的传入流量,但拒绝任何可能的pod间通信。我有两个nginx pod,我想在集群中完全隔离它们。这两个pod都公开了nodePort类型的服务,并且可以从外部访问它们。我首先应用以下默认拒绝网络策略:kind: NetworkPolicy
metadat
浏览 5提问于2019-11-05得票数 1
2回答
我正在运行一个区域GKE kubernetes集群,在is-中心1-b,我们-中心-1-c和我们-中心1-f。我正在跑1.21.14-gke.700。我使用此命令向集群中添加了一个机密节点池。对于我的用例来说,这是不可接受的,因为这些节点池需要尽可能的安全。我进入我的节点池并创建了一个新的机器模板,其中关闭了ssh,使用基于为我的节点池创建的实例模板。,goog-gke-node=,team=platform --r
浏览 22提问于2022-11-03得票数 1
回答已采纳
1回答
我读了一本书"kubernetes in action",书中提到了“云提供商上的侵入控制器(例如,在GKE中)要求In宿指出一个NodePort服务”。当Ingress控制器从服务本身获取Pod并将请求直接路由到IP和端口时,它为什么需要NodePort服务?节点的IP和端口(由NodePort服务提供)用于什么?
浏览 3提问于2022-09-02得票数 0
我已经使用kops在亚马逊网络服务上部署了一个Kubernetes集群,并且我能够使用带有--type=LoadBalancer的服务公开我的podskubectl expose deployment sample-nginx --port=80 --type=LoadBalancer
但是,我不能通过使用我的主节点的公网我已经允许入口流量通过指定的端口,并使用
浏览 4提问于2020-03-20得票数 0
对于我们的用例,我们需要通过NodePort访问很多服务。默认情况下,NodePort范围为30000-32767。使用kubeadm,我可以通过--服务节点-端口范围标志设置端口范围。我们正在使用引擎(GKE)集群。如何设置GKE集群的端口范围?
浏览 0提问于2018-09-14得票数 5
我想在我的.NET应用程序中捕获运行在GKE侵入控制器后面的客户端IP地址,以确保客户机被允许。var requestIpAddress = request.HttpContext.Connection.RemoteIpAddress.MapToIPv4();我曾尝试在NodePort服务中添加规范
浏览 22提问于2022-01-25得票数 2
回答已采纳
如果群集升级或失败,则删除并重新创建集群中的3个工作节点。此时,暴露在外部的节点的IP被改变了。为了解决这个问题,即使我创建了一个新的节点,是否有一种保持IP的方法?
浏览 4提问于2020-12-15得票数 1
回答已采纳
我正在尝试将Traefik部署为我的GKE集群上的入口控制器。它是一个有3个节点的基本集群。我习惯于使用清单在Kubespray部署的Kubernetes集群上部署Traefik,但我们正在将一些基础设施迁移到GCP。然后使用以下命令启动它:在我的K8SMust be greater than or e
浏览 0提问于2018-05-26得票数 1
是否有可能在欧盟和美国运行谷歌容器引擎集群,并在这个Google容器引擎集群上运行的应用程序之间进行负载平衡?
浏览 4提问于2017-10-03得票数 2
回答已采纳
2回答
我在GKE中部署了一个Nginx服务,并公开了一个NodePort,我只想通过内部IP地址从我的Compute实例连接它。当我试图用集群IP连接到Nginx时,我只接收超时。我认为clusterIP只能在集群中访问,但是当我激活NodePort时,可能是可行的。
我不太清楚NodePort和ClusterIP之间的区别。
浏览 6提问于2021-02-04得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
