我在 Azure (ACS) 中使用 Kubernetes,想知道是否可以更改节点 VM 上的 SSH 端口。我想防止对默认 SSH 端口(端口 22)的暴力攻击,但我不想破坏任何集群内通信机制。如果有什么不同的话,我很乐意使用 acs-engine。
【问题讨论】:
标签: kubernetes azure-aks
首先,我 100% 同意 JonahB 的观点,即将节点暴露在狂野的互联网上是不必要的风险。 我什至不愿把它放在“答案”框中,因为它更像是一个肮脏的黑客,但它的字符太多,无法放在评论中;也就是说:
理论上,您可以利用kubelet 的这一事实,您几乎可以将远程控制 API 直接插入这些机器上的 Linux 内核。部署到集群中的DaemonSet 可以volumeMount /var/lib/dbus,然后使用systemd 控制套接字关闭sshd.service,然后更新DS(或单独的)可以为您的节点重新打开ssh选择是否确实需要 ssh。或者 volumeMount /etc/ssh,更改配置,然后使用相同的控制套接字重新启动 sshd.service。
我使用了一个非常相似的技巧,使用 volumeMount 和 go-systemd 库在节点上提供新的 systemd 服务;巧合的是,我碰巧对我在回答与此类似的问题时发布的systemd daemon-reload 部分有所了解。
【讨论】: